大多數(如果不是全部的話)應用程序都存在危險的安全漏洞。但是,專家稱,影響最大的是那些旨在保護你的安全的安全產品中的安全漏洞,也就是殺毒軟件中的漏洞。研究發現,這些安全漏洞不需要用戶干預,不分操作系統,並且權限非常高——具有系統、根甚至內核權限。 獨立安全研究人員Alex Wheeler今年到目前為止在賽門鐵克、趨勢科技、冠群國際、F-Secure和Sophos等殺毒軟件公司的產品中都發現了漏洞。這些殺毒軟件公司合在一起的市場份額占全球殺毒軟件市場的75%以上。所有這些漏洞都可能引起導致緩存溢出故障的內存崩潰。當攻擊者使用特殊的方式利用這些緩存溢出故障時,攻擊者就能夠控制應用程序。一旦他或者她獲得了運行這個軟件的權限,這個人就能夠操縱任何與殺毒軟件相關的程序。 Wheeler曾在今年夏季在拉斯維加斯舉行的“黑帽”大會上談了他的發現。他說,指出這個問題是非常重要的:這些殺毒軟件中的漏洞通過默認安裝就可以訪問,而且在黑客利用這些漏洞的時候不需要用戶的互動。在目前發布的相關客戶端軟件(如IE浏覽器、iTunes和Mozilla)的高風險漏洞中,攻擊者必須引誘用戶做些什麼事情(如觀看一個圖像、聽一首歌曲或者訪問一個網頁)才能夠利用這個安全漏洞。 Wheeler說,殺毒軟件一般都以較高的權限運行,,如系統、根、甚至內核。這實際上能夠讓攻擊者做任何事情,包括: ·安裝一個rootkit,偷偷地偵察用戶的系統和執行惡意代碼; ·利用任何與其它系統可信賴的連接攻破這些系統。當殺毒軟件庫正在一個網關系統上運行以保護整個企業網絡或者ISP網絡的時候,這種手段非常有效。 ·竊取口令、金融數據等資料。 ·修改或者刪除現有的數據,如發送給用戶的電子郵件或者文件等。 Wheeler說,這些漏洞存在於這些廠商在他們所有的殺毒軟件產品中使用的核心庫中。Wheeler與互聯網安全系統研究人員Neel Mehta進行合作。這兩個人認識到了這種形勢的嚴重性。這些漏洞影響到這些廠商正在銷售的所有殺毒產品。大型廠商有時候銷售30多種不同的產品。而且,這些庫在當前使用的各種操作系統上運行,如Windows、Linux、Unix和Mac等。因此,並不僅僅是Windows系統容易受到攻擊,盡管Windows系統占病毒攻擊的大多數。 為什麼殺毒軟件容易受到攻擊 Wheeler介紹說,殺毒引擎能夠掃描所有的數據,甚至在用戶還沒有對這些數據做任何操作之前就掃描這些數據。從攻擊者的角度看,這正是他們需要的。你要能夠在用戶沒有做任何防范的情況下利用這個安全漏洞。安全軟件中的這些漏洞不需要用戶做任何操作。正是安全軟件本身暴露了安全漏洞。 Wheeler說,殺毒引擎必須要模仿任何能夠在計算機中創建文件的應用程序,如微軟的Office。但是,與實際產品相比,殺毒引擎必須要能夠應付更多錯誤狀況,以便找出壞文件或者被破壞的數據。如果你把一個安全漏洞或者惡意代碼放在一個文件中,殺毒引擎就會把這個文件識別為一個壞文件並且不再對這個文件進行進一步的掃描。但是,這個應用程序仍會打開和處理這個文件。Wheeler說,殺毒軟件處理這類文件和實際應用程序處理這類文件之間的任何不同都可能被利用。 Wheeler說,我認為,與其他應用程序相比,殺毒軟件開發商要多地檢查自己的產品,因為,殺毒軟件產品要更安全。應用軟件開發商也許想不到對所有狀況進行檢查。最終的結果是應用軟件沒有殺毒引擎那樣嚴格。 文件格式的沖突 問題在這裡還沒有結束。Wheeler說,因為微軟的Office應用程序對於文件格式全部使用了稍微不同的內部結構和存儲區域,攻擊者能夠使這樣的文件看起來像一個可執行文件。如果兩種格式都匹配,殺毒引擎必需判斷出先掃描哪一種格式。Wheeler說,這是殺毒軟件公司沒有預計到的。攻擊者可以利用這個技術避開檢測。 Wheeler做結論稱,使用安全產品是要保護你,而不是傷害你。因此,殺毒軟件產品中存在漏洞就違背了這個產品的初衷。我認為,我們現在才剛剛了解一點殺毒軟件漏洞的皮毛。
