Novo ataque para neutralizar sistemas antivírus

Dan Goodin, no The Register:

Investigadores descobriram uma forma de ultrapassar a protecção em dezenas de antivírus para estações de trabalho (...) O método, desenvolvido por investigadores de segurança na matousec.com, funciona pela exploração dos driver hooks utilizados pelos programas antivírus, ligados no interior mais profundo do sistema operativo. Em essência, o método funciona através do envio de uma amostra de código benigno (que passa pelas verificações de segurança) e, em seguida, antes desse código ser executado, troca-o por código malicioso.

in New attack bypasses virtually all AV protection. O artigo original, o dos investigadores, também está disponível online: Intitula-se KHOBE — 8.0 earthquake for Windows desktop security software e vale a pena pelo detalhe técnico. Muito técnico.

O contexto necessário para a realização de um ataque não é extravagante nem improvável: basta a exploração de uma vulnerabilidade qualquer, por exemplo, num documento transferido da Internet, ou recebido por correio electrónico, cujo programa de leitura esteja vulnerável. A partir desse momento, pode desenrolar-se o ataque, mesmo num contexto de execução sem privilégios...

Anyway, depois da demonstração de um problema desta natureza, que pode afectar milhões de sistemas em todo o mundo, aguarda-se com curiosidade a resposta dos fabricantes. Como é óbvio.