安全研究人员: 防病毒引擎自身安全性堪忧,多数存严重漏洞
作者:星期一, 八月 4, 20140

beste-antivirus-software

新加坡信息安全公司COSEINC最近对17种主要防病毒引擎进行了一系列的研究后, 发现其中14种存在通过本地或者远程可以利用的漏洞。 COSEINC建议企业在部署防病毒产品前一定要经过严格的安全测试。

COSEINC负责此项目的安全研究员Joxean Koret还发现, 很多防病毒产品厂商的产品要求很多不必要的权限, 对安全升级包不进行签名, 或者通过不安全的HTTP协议传输安全升级包。 此外, 还有产品存在大量的旧代码, 并没有进行正确的代码审阅以及模糊测试。

这些产品包括Avira, BitDefender, ESET以及Panda. 他们的产品中存在这不同的远程或本地漏洞,其中一些后来打上了补丁, 还有一些至今还是0day漏洞。 尽管这些杀毒引擎采用了地址空间随机布局(ASRL)的方式进行了防护, 很多其它功能如用户界面和一些库函数并没有这样作。 有些产品甚至还禁用了数据执行保护(DEP)的功能。

杀毒软件的引擎通常都是用C语言编写的, 而C语言则很容易产生如缓冲区溢出,整型溢出等漏洞, 或者由C语言编写的系统驱动可能会导致本地提权之类的安全威胁。 而杀毒引擎的功能越强大, 就越有可能给恶意攻击者以可乘之机。 因此, 拥有很多附加功能的杀毒产品应该被隔离在企业网外。

如果你的应用是用最高权限在运行, 或者你安装了内核驱动, 或者是数据包过滤等等。 你的受攻击面就会迅速加大。 ” Joxean Koret说。 “杀毒引擎会导致系统性能的降低, 同样, 它对于0day漏洞来说也是无能为力的。 而且在某些情况下甚至会降低操作系统在缓解漏洞攻击的能力。有些杀毒软件根本就没有提供安全保护。“

他说;“那些要求过多权限的杀毒引擎对于攻击者来说是一个很好的目标, 因为这些软件往往运行在管理员权限上。对于那些没有进行升级包签名或者没有通过HTTPS传输升级包的杀毒软件产品来说, 攻击者可以利用“中间人”攻击来取得最高权限, 从而控制机器。”

Joxean Koret:”对于攻击者而言, 攻击杀毒引擎与攻击其它的客户端的应用没有什么不同。 这些杀毒引擎没有对自身进行一些特殊的保护, 而是依赖于操作系统的功能, 比如地址空间随机布局(ASRL)和数据执行保护(DEP)。 而有的时候, 它们甚至禁用这些功能。这里是Joxean Kore关于此次研究的PPT[wpdm_file id=43]。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章