Ograniczone zaufanie do antywirusów
Problemy z oprogramowaniem antywirusowym Malwarebytes pokazują, iż oprogramowanie zabezpieczające przed złośliwym oprogramowaniem może samo powodować błędy, prowadzące nawet do unieruchomienia PC i stacji roboczych. Jest prawdopodobne, że następne uaktualnienia tego typu aplikacji nie będą od razu uruchamiane w środowisku operacyjnym.
Problemy z najnowszym uaktualnieniem oprogramowania antywirusowego Malwarebytes zaczęły się zaraz z jego pobraniem - w piątek 26 stycznia. Update dotyczyło aktualizacji sygnatur modułu ochrony ruchu WWW i obejmowało Malwarebytes for Windows Premium, Malwarebytes for Windows Premium Trial, Malwarebytes Endpoint Security (MBES) i Malwarebytes Endpoint Protection (Cloud Console). Uaktualnienie zawierało błąd w kodzie, który powodował iż chcąc prawidłowo plik przetworzyć, komputer musiał użyć całej dostępnej pamięci RAM oraz zaangażować 100 proc. mocy procesora, co powodowało "zamrożenie" pracy urządzenia i w efekcie całkowitą jego niedostępność.
Tego samego dnia około 18.00 użytkownicy zaczęli zgłaszać firmie problem. Jak się okazało, nie można było przy tym "zabić" wadliwego procesu przetwarzania, był on bowiem chroniony. Nie można było z tych samych powodów wyłączyć całego antywirusa. Jednym wyjściem - możliwym przy tym tylko dla dobrze znających środowiska Windows i sieciowe administratorów, było szybkie wyłączenie usługi i zabicie procesu, aby nie próbowały się one nawzajem odtwarzać. Jednak działanie takie wymagało pewnych testów, co w końcu spowodowało, iż 26. stycznia wieczorem firma miała tysiące niezadowolonych klientów. Około 22.00 tego samego dnia firma zdołała jednak wydać poprawkę - zmienioną aktualizację, która instalowała się prawidłowo, usuwając przy tym ślady instalacji poprzedniej, błędnej.
W niedzielę 28. stycznia Malwarebytes wydała oświadczenie, w którym przeprosiła klientów za zaistniałe problemy: - Podstawowym źródłem kłopotów było źle wykonane update bezpieczeństwa, którego klient nie mógł prawidłowo przetworzyć. Taka sytuacja jest rzadka ponieważ wydaliśmy do tej pory rutynowo 20000 update bezpieczeństwa - stwierdziła firma.
Co ciekawe, prawdopodobnie błąd aktualizacji nie wynikał ze złej jego konstrukcji, ale był efektem prac badawczo-rozwojowych, które miały na celu zwiększenie bezpieczeństwa w obszarze kontroli składni wykrywania. - Ostatnio ulepszamy nasze produkty, więc powodem blokady update było zaawansowane wykrywanie kategorii w zabezpieczeniach sieci Web. Chcąc wesprzeć tą nową funkcjonalność, dodaliśmy ulepszone wykrywanie składni w kategorii bloku w definicjach. Niefortunnie jedna z kontroli składni nie została poprawnie zaimplementowana w bloku wykrywania składni , co spowodowało złą kompilację wypuszczonej aktualizacji - napisano.
Nie jest to pierwszy przypadek, kiedy rozwiązania antywirusowe generują błędy lub same mogą być wektorem ataku. Zajmujący się bezpieczeństwem rozwiązań antywirusowych, analityk Google Project Zero, Travis Ormandy wykrył w ostatnich latach przynajmniej dwa przypadki, kiedy oprogramowanie tego typu było źródłem problemów dla używających go firm lub osób fizycznych. Jesienią zeszłego roku okazało się, że wektorem ataku może być bardzo znany - i systemowy zarazem - Windows Defender.
W efekcie Microsoft musiał przerobić cały główny moduł Malware Protection Engine i od wersji 1.1.13903.0 tego błędu nie ma. Czy to znaczy, że na pewno nie ma i innych podatności? Prawdopodobnie nie, i okaże się to wiosną kiedy analitycy bezpieczeństwa zaczną badać nową wersję aplikacji.
W roku 2016 badania Ormandy'ego z kolei pozwoliły wykryć dużą i istotną lukę w wielkim kombajnie Symanteca używanym przez wiele firm, jakim są wszystkie produkty bezpieczeństwa zawierające jeden silnik antywirusowy firmy Symantec, występujące pod marką Norton. Otóż podobnie jak programiści z Redmond, także i inżynierowie oprogramowania tworzący ten silnik poszli po prostu na skróty. Zainstalowano pliki kwarantanny spakowane starszą wersją programu aspack i w dodatku zaimplementowano odpakowywanie złośliwego oprogramowania na poziomie jądra systemu przy analizie w czasie rzeczywistym.
Oznacza to, że przez podłożenie odpowiedniego malware program "sam załatwi" hakerowi maksymalne uprawnienia w systemie czyli root dla Linuksa czy OS X, NT Authority\SYSTEM w Windows. Nie trzeba przesyłać żadnych plików, po prostu podrzucić użytkownikowi lub firmie odpowiednie malware, którym zajmie się program antywirusowy. Anegdotyczne jest, że kiedy analityk przesłał zanalizowaną przez siebie próbkę na dowód że błąd rzeczywiście istnieje, oprogramowanie antywirusowe "wywróciło" całą firmową pocztę w Symantecu, bowiem używało właśnie silnika programowego z błędem opisanym przez Ormandy'ego. Obecnie błąd ten został już naprawiony jednak problemy z Kaspersky'm czy obecny z Malwarebytes oraz drobniejsze błędy w Avast, AVG, TrendMicro, Comodo, Avira oraz McAfee wskazują na rzecz, o której coraz częściej mówią eksperci - że aktualizacji do programów antywirusowych nie można instalować automatycznie i wprowadzać od razu do warstwy produkcyjnej komputerów w firmie, ale sprawdzać środowisku testowym np. na wydzielonej stacji roboczej i dopiero instalować po sprawdzeniu. Jednak wtedy pozostaje problem exploitów na które w ostatniej chwili wprowadzane są łaty - jeśli nie zainstaluje się uaktualnień na stacje robocze w środowisku operacyjnym, ryzykuje się dewastujący atak...
Marek Meissner
Polecamy: PIT 2017
