www.MegaLab.it

Matousec è una società attiva ormai da diversi anni nel settore della sicurezza in ambiente Windows e non è nuova a studi sui software di sicurezza che fanno venire a galla problemi di ampia portata.

La società ha guadagnato una certa notorietà grazie all'iniziativa nota come Proactive Security Challenge, una sorta di gara che vede come concorrenti i più diffusi software di sicurezza dotati di tecnologia proattiva e che ha spesso fornito risultati sorprendenti, mettendo in evidenza le numerose debolezze di molti di questi, anche blasonati.

Recentemente il team ha pubblicato i risultati di uno studio sui sistemi HIPS integrati in molti software di sicurezza, evidenziando come pressoché la totalità di questi risulti vulnerabile ad una particolare tecnica di attacco, nota come argument-switch attack, che consentirebbe di chiamare funzioni di Windows protette senza alcun controllo da parte del software di sicurezza.

Tralasciando le questioni tecniche, possiamo semplificare il concetto dicendo che praticamente tutti i software di sicurezza inseriscono dei controlli (noti come hook) in molte delle funzioni (API) di Windows potenzialmente veicolo di attività pericolose, in modo da poter verificare in che modo queste vengano utilizzate e bloccare eventuali comportamenti pericolosi.

Gli esperti di Matousec sono riusciti ad eludere questo controllo sfruttando lo scheduler dei processi di Windows, cioè il componente del sistema operativo che si occupa di stabilire quale programma debba utilizzare il processore per un determinato lasso di tempo.

Infatti, se il processo nocivo è composto da più thread opportunamente programmati, è possibile che dopo che uno di questi ha chiamato una certa funzione di Windows con dei parametri leciti e quindi il software di sicurezza abbia consentito l'operazione, un secondo thread possa modificare i parametri prima dell'effettiva esecuzione del comando e cambiare quindi il comportamento ottenuto, con la possibilità di eseguire codice nocivo.

Sicuramente uno degli scenari più interessanti per i malware-writer è la disattivazione del software di sicurezza, che questa tecnica rende notevolmente più facile.

Sebbene la vulnerabilità possa richiedere, per un'eventuale malware, l'esecuzione di più di un tentativo, il team di Matousec afferma che statisticamente il numero è piuttosto ridotto e talvolta ne basta uno solo.

È da notare come la società affermi che la vulnerabilità sia sfruttabile anche se l'utente è connesso con privilegi ridotti. Tuttavia è probabile che applicando questa misura di sicurezza sia possibile ridurre la portata di un eventuale attacco.

Matousec ha realizzato un bollettino dove segnala i software e le relative versioni affette dal problema. Come è possibile vedere nell'immagine sotto non è stato risparmiato nessuno: nella lista dei programmi vulnerabili figurano volti molto noti e diffusi, come avast!, AntiVir, G DATA, Kaspersky e Norton.

La società conclude la sua analisi, di cui una versione più completa sarà resa disponibile alle software house che ne faranno richiesta, dicendo che la correzione di questo problema dovrebbe risultare piuttosto difficile per i team di sviluppo, in quanto si tratta di un problema presente by design, cioè a livello di architettura.