E’ sempre più oggetto di discussione il recente test condotto da “Matousec” durante il quale è stato dimostrato un attacco, relativamente nuovo, in grado di mettere al tappeto tutti i principali software di sicurezza, commerciali e non.
L’attacco sfrutta il fatto che molti software antivirus “si agganciano” alla cosiddetta SSDT (System Service Descriptor Table) del kernel per monitorare il comportamento delle applicazioni.
Se l’utente invoca una particolare funzione di sistema (ad esempio, per caricare un driver), il software antivirus effettua un controllo teso a verificare “la bontà” della chiamata escludendo intenti “maligni”. Secondo quanto riportato da “Matousec“, un aggressore può interfacciarsi con la SSDT trasmettendo parametri i cui valori riescono a superare i controlli svolti dai software di sicurezza installati sul sistema. Il contenuto dei vari parametri viene poi scambiato con i dati necessari per provocare il caricamento di un driver maligno od invocare una funzione diversamente il cui utilizzo sarebbe stato vietato.
Il trucco usato da “Matousec” (ved. questa pagina) consiste nel verificare in quale istante il processo che “governa” il software antivirus ha terminato il controllo della chiamata per poi intervenire sul nome del driver da caricare, sui puntatori o sull’handle.
Per le prove “Matousec” ha sviluppato internamente un framework battezzato KHOBE (Kernel HOok Bypassing Engine) informando, già alcune settimane fa i vari vendor circa i risultati dei test.
Secondo McAfee l’attacco, che avrebbe comunque avuto successo, sarebbe di scarsa valenza pratica. Stando a quanto dichiarato, la modifica dell’argomento di una chiamata richiederebbe un gran numero di tentativi che porterebbero alla comparsa di una schermata blu (BSoD). Va poi aggiunto che il malware dovrebbe già essersi insediato sul sistema per poter sferrare un’aggressione come quella presentata da “Matousec“.
Non è d’accordo Alfred Huger di Immunet che definisce “molto seria” la problematica aggiungendo che “verosimilmente, tutti i prodotti di sicurezza per Windows XP possono essere forzati usando questo genere di attacco“.
Anche Mikko Hypponen, chief research officer di F-Secure definisce “grave” la questione e conferma l’esattezza delle argomentazioni tecniche di “Matousec“.
Rik Ferguson (Trend Micro) ha dichiarato: “la ricerca condotta da Matousec è sicuramente importante e significativa già nel breve termine se si sta ancora usando Windows XP“.
Sebbene Microsoft raccomandi l’impiego di una speciale API per “integrare” i software antivirus con i suoi più recenti sistemi operativi (Windows Vista SP1 e Windows 7), la stessa API non risulta disponibile, ad esempio, su un sistema come Windows XP, ancora ampiamente utilizzato. Inoltre, stando a quanto dichiarato da Avira, l’API ufficiale non supporta tutte le funzionalità richieste. Per implementare il meccanismo di analisi comportamentale, la software house tedesca si è quindi trovata a dover impiegare ancora, nel caso di Avira AntiVir 10, il meccanismo di protezione basato su SSDT.
Huger teme che il “prototipo” di attacco illustrato da “Matousec” possa essere ripreso, rielaborato da qualche malintenzionato ed inserito in qualche strumento in grado di rendere l’attacco più semplice da mettere in atto.
Le attuali soluzioni antivirus non hanno comunque “le mani legate”: come spiega Hypponen, infatti, il problema riguarda solamente i malware sconosciuti, non ancora classificati nei laboratori dei vari vendor.
Abbiamo voluto sentire anche il parere di Marco Giuliani, malware analyst di Prevx che ha dichiarato che il problema segnalato da “Matousec” deve essere riportato entro certi ranghi. “L’attacco dimostrato dai ricercatori di Matousec andrebbe forse ridimensionato. Innanzitutto non è stato dimostrato niente di nuovo: questo tipo di attacco pone le proprie radici teoriche nel lontano 1996 ed alcune applicazioni pratiche nel 2003. È una tipologia di attacco già conosciuta in passato come TOCTTOU attack, sebbene non fortemente pubblicizzata, e non è di facile utilizzo in un ambiente reale“, ha puntualizzato Giuliani. “Sicuramente è un problema, non si cerca di dimostrare il contrario, tuttavia va ridimensionato. Inoltre eventuali malware che volessero utilizzare tale tecnica offensiva, una volta isolati oppure isolati euristicamente, verrebbero bloccati dai software antivirus prima ancora di poterla sfruttare“.