image

Fout in virusscanners laat malware door

maandag 20 april 2009, 14:05 door Redactie, 3 reacties

De Luxemburgse beveiligingsonderzoeker Thierry Zoller heeft een fout in de werking van verschillende virusscanners ontdekt, waardoor malware wordt doorgelaten. De virusscanners van Fortinet, NOD32, Bitdefender en Avast gaan niet goed om met archiefbestanden. Door malware in een geprepareerd bestand in te pakken, kan de anti-virus software de inhoud niet scannen en bereikt die uiteindelijk de desktop van de gebruiker. Met name voor bedrijven die virusscanners op de gateway gebruiken, kunnen de gevolgen behoorlijk zijn.

Zoller had anti-virusbedrijven al eerder gewaarschuwd voor problemen met archiefbestanden, waarop ontwikkelaars besloten om het blokkeren van dit soort bestanden aan hun virusscanner toe te voegen. Volgens de Luxemburger is het probleem waar hij nu voor waarschuwt niet hetzelfde als het toevoegen van een wachtwoord aan een ZIP-bestand. Scanners kunnen archiefbestanden met wachtwoorden herkennen, maar een bestand waarvan ze de inhoud niet kunnen scannen wordt gewoon doorgelaten. Zolang er op de desktop een virusscanner aanwezig is, kan die bij het uitpakken van het archiefbestand in principe wel alarm slaan.

Geen reactie
Voor de bug in de virusscanner van BitDefender had hij slechts tien minuten nodig om het probleem te vinden, terwijl het schrijven van de advisory en waarschuwen van de vendor twee uur kostte. De Roemeense virusbestrijder had het probleem binnen een dag verholpen. Bij Fortinet en Avast ging het er geheel anders aan toe. Daar wacht Zoller nog altijd op antwoord, ondanks herhaaldelijke pogingen. Hij heeft de beveiligers twee weken extra gegeven, maar zal dan zijn proof-of-concept exploit code onthullen. NOD32 reageerde "goed genoeg" en zou binnen twee weken met een update komen.

Reacties (3)
20-04-2009, 15:17 door Anoniem
Tja, dit is natuurlijk geen nieuws en een open deur. Format ondersteuningsproblemen in beveiligingsproducten zijn al vele jaren op talloze plaatsen beschreven.

De vraag is natuurlijk of het een groot probleem is, aangezien letterlijk iedereen zijn eigen encoding format kan bedenken en zo malware langs een scanner kan krijgen. Het veranderen van 1 bit is vaak ook al voldoende. Daar is vrij weinig tot niets tegen te doen. Dit probleem is fundamenteel.

Ontwikkelaars van non-desktop producten moeten uiteraard wel hun uiterste best doen gangbare formaten te ondersteunen. Alleen het volgen van standaarden is onvoldoende. Ze moeten zoveel mogelijk op dezelfde wijze archiefbestanden uitpakken zoals gangbare programma's op de desktop dat ook zullen doen.

Waar het uiteindelijk om gaat is dat de malware niet kan worden uitgevoerd als het wordt uitgepakt. Dat argument blijft, maar het is geen panacea.
20-04-2009, 15:39 door Anoniem
Altijd een goede methode: pak archieven uit en heb geduld voor je het gebruikt/aanspreekt. Doe dit ook met bijlages van emails. Op die manier krijgen de anti-virus pakketten een betere kans om je te beschermen.
20-04-2009, 16:08 door Anoniem
Mischien is het niet mogelijk in desktop-producten maar in bedrijfs-oplossingen is het normaal wel mogelijk de scanner zo in te stellen dat alles dat niet gescand kan worden, automatisch verwijderd wordt of naar quarantaine wordt geplaatst.

En aangezien alles dat in het geheugen geladen wordt gescanned moet worden door een resident protectie zie ik het probleem dan ook niet in.
Security bouw je in lagen, net doordat sommige zaken nu éénmaal niet goed gecontroleerd kunnen worden op bepaalde lagen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.