Nieuwe aanval omzeilt antivirussoftware

De aanvalsmethode van matousec.com berust op het bliksemsnel verwisselen van verwijzingen in een controle die via zo’n handler wordt afgehandeld. Daardoor kan men een routine die door het antivirusproduct als goedaardig is beoordeeld na de goedkeuring – maar voordat de handler zijn werkzaamheden heeft afgerond - vervangen door een bestand met kwaadaardige code die bijvoorbeeld het antivirusproduct uitschakelt. Hoe dat in zijn werk gaat, heeft matousec.com beschreven in het document KHOBE – 8.0 earthquake for Windows desktop security software. Waarbij KHOBE, dat net zo uitgesproken wordt als de Japanse stad die in 1995 door een zware aardbeving werd getroffen, staat voor Kernel HOok Bypassing Engine.

Uit de woordkeuze in de titel alleen al blijkt overduidelijk dat de onderzoekers hun vondst als een groot probleem zien. Tot nog toe hebben ze 34 producten getest, en alle 34 bleken kwetsbaar voor een aanval langs deze lijnen. Daarbij maakt het niet uit of de gebruiker op het moment van de aanval beheerdersrechten heeft of niet.

Maar het binnensmokkelen van de code is nog niet zo eenvoudig. Het programma dat nodig is om de aanval uit te voeren is nogal groot, en de aanvaller moet wel in staat zijn om een binair bestand ten uitvoer te brengen op de doel-pc. Gebruik ervan veronderstelt daarom – zoals de zaken er nu voor staan – dat een aanvaller zich al via een andere kwetsbaarheid toegang heeft weten te verschaffen tot zijn doelwit.