In het verleden is het al meerdere malen voorgekomen dat een virusscanner bepaalde bestanden niet goed scant, waardoor malware onopgemerkt het systeem kan binnenkomen. Onderzoeker Hendrik Weimer heeft nu een manier ontdekt om meerdere scanners te misleiden.
Het probleem wordt veroorzaakt door misvormde MIME bijlages die in sommige gevallen niet door anti-virus software gescand worden. Omdat e-mailstandaarden zijn opgesteld toen berichten alleen uit tekst bestonden, werd er gegarandeerd dat 7 van de 8 bits in een byte door zouden komen. Vandaag de dag is het nodig om alle 8 bits te vesturen, terwijl men ook aan de originele standaarden moet voldoen.
Om dit te doen moet 8 bit content in een 7 bit e-mailbericht encoderen. Een encoderingsscherma gebruikt een alfabet van 64 karakters, en gebruikt 3 bytes om er 4 bytes van geencodeerde data van te maken. Dit is het doel van Multipurpose Internet Mail Encoding (MIME) en dan met namen MIME64. De standaard voor MIME encodering bepaalt dat als je een karakter tegenkomt dat geen onderdeel van jouw alfabet is, je die moet negeren en verder gaan. Het probleem ontstaat als een virusscanner deze standaard niet volgt, maar het e-mailprogramma wel. De virusscanner zal de bijlage dan niet goed scannen, maar de e-mailclient laat het volledige gedecodeerde bericht wel aan de gebruiker zien.
Volgens Weimer zijn de volgende scanners kwetsbaar:
F-Secure Anti-Virus voor Linux Gateways 4.65 zou "minder kwetsbaar" zijn en avast! voor Linux/Unix Servers 2.0.0 liet zich helemaal niet misleiden. (ISC)
Deze posting is gelocked. Reageren is niet meer mogelijk.