Gateways vatbaar voor obfuscatie
Gepubliceerd: Maandag 20 april 2009
Auteur: Michiel van Blommestein
Meerdere antivirusgateways kampen met een bug waarbij een bepaalde vorm van bestandscurruptie malware voorbij de filters kan loodsen. In ieder geval BitDefender, Fortinet, Avast en ESET/NOD32 zijn zo te omzeilen.
Dat boekje doet hacker Thierry Zoller open op zijn blog. Op Fortinet en Avast na hebben de genoemde leveranciers een fix uitgebracht voor hun producten om het lek te vermijden. Fortinet en Avast hebben al wel contact opgenomen met de hacker, die al eerder de beveiliging van antimalware-software zelf aan de kaak stelde.
Specifiek zit de fout in de parsing engines van de producten. Malware die is versleuteld als RAR of CAB zou normaalgesproken opgepikt moeten worden, maar met de bug werkt dat niet meer als de archive op een bapaalde manier wordt verminkt. Deze manier van obfuscatie is juist riskant voor server-side antivirus, zoals gateways, bestands- en databaseservers, omdat die niet scannen op runtime. Antivirus op clients is minder vatbaar, omdat die ook aanslaan op het moment dat een kwaadaardig bestand uitgevoerd wordt.
Bron: Techworld
