Novo ataque pode inutilizar os antivírus

Ataque foi eficiente contra 34 antivírus testados

Um novo método para burlar a proteção dos softwares antivírus foi descoberto por uma empresa de segurança e pode ser usado contra a grande maioria dos antivírus disponíveis atualmente para Windows.

Descoberto pela empresa de segurança Matousec, o novo método faz uso da incapacidade que os sistemas multicore têm de monitorar efetivamente as threads em execução nos outros núcleos de processamento.

A ideia por trás do ataque é simples de descrever, mas sua execução é bem complexa: ao enviar um trecho de código “inocente” para ser verificado, é possível receber uma validação do antivírus; uma vez que o código foi validado para execução, existe um pequeno espaço onde é possível substituir o código “inocente” por um malware – que então é executado sem precisar ser verificado pelo antivírus.

De acordo com a equipe da Matousec, esta técnica – que se baseia no fato dos softwares antivírus utilizarem os hooks System Service Descriptor Table (SSDT) no Windows para ter acesso a certas partes do kernel do Windows* - foi bem sucedido em 100% dos produtos testados.

*O que a Microsoft justamente quis evitar com o Kernel Patch Protection (ou PacthGuard) nas versões 64 bits do Windows, mas as fabricantes de antivírus reclamaram (http://en.wikipedia.org/wiki/Kernel_Patch_Protection).

Entre os produtos testados estão alguns bem populares, incluindo o avast! AntiVirus, AVG, BitDefender, Kaspersky, McAfee, Norton, Sophos e ZoneAlarm. Um detalhe é que o Microsoft Security Essentials não está na lista porque a equipe ainda não teve tempo de testá-lo e não porque ele não é afetado.

A equipe da Matousec informou que o ataque pode ser efetivo quando executado em uma conta sem privilégios administrativos e ele afeta todas as versões do Windows (32 e 64 bits). O único fator limitante é a complexidade da técnica, que requer que uma grande quantidade de código esteja presente no sistema, o que torna difícil seu uso em ataques do tipo drive by.

Como prova de conceito, os pesquisadores da Matousec criaram um mecanismo para o desenvolvimento de exploits chamado Kernel HOok Bypassing Engine (ou KHOBE).

Saiba mais sobre a descoberta da Matousec clicando aqui.

A lista com os 34 softwares antivírus testados pela Matousec pode ser vista abaixo:

Artigos relacionados Malware se disfarça como atualização para o iTunes Novo ataque explora falha em PDF MS investiga falha no SharePoint Departamento do Tesouro dos EUA espalha malwares Malware se espalha pelo Yahoo! Messenger Site do PHP-Nuke espalhava malwares Trojan engana usuários do Windows Exploit da Matousec não afeta antivírus da MS Matousec e a resposta das empresas de antivírus