Eine Untersuchung des Code-Emulator in ESET-Produkten zeigt, dass es nicht stark genug war, so dass es leicht beeinträchtigt werden könnte. Dies wiederum ermöglicht es einem Angreifer die vollständige Kontrolle über ein System den Betrieb der gefährdeten Sicherheitslösung zu ergreifen.
Bevor der Benutzer startet ausführbare Dateien und Skripte, Anti-Virus-Produkte laufen sie durch Code-Emulation in das Programm integriert, dann wird die Aktivität im System überwacht. Der Prozess geschieht in einem privaten Umfeld so das reale System nicht beeinträchtigt werden könnte.
Bug Läuft Während Routine-Scan-Routine
Die Sicherheitslücke in NOD32 Antivirus wurde von Tavis Ormandy von Google Project Zero entdeckt. Weiter, andere Produkte wie Consumer-Versionen für Windows, Linux und OS X, sowie Business-Ausgaben und Endpunkt sind auch betroffen.
Im Fehlerbericht, Ormandy besagt, dass NOD32 einen Minifilter oder kext verwendet alle Festplatten anschließen I / O (Input-Output) Informationen, die analysiert wird, und dann, wenn emulierten ausführbarer Code erkannt wird. Er fügte auch hinzu, dass viele Anti-Virus-Produkte Emulation Effizienz, die für die Erlaubnis zu unpackers ausgelegt ist, ein paar Zyklen zu laufen, bevor Signaturen aufgebracht werden.
Nicht vertrauenswürdiger Code kann die Platte, wenn Dateien passiert, Bilder, Nachrichten oder eine andere Art von Daten werden als Plattenoperationen I / O empfangen kann auf viele Arten verursacht werden. Deshalb, die Notwendigkeit für eine stabile und richtig isoliert Code Emulator in Antivirus-Produkt ist von entscheidender Bedeutung.
Die Sicherheitslücke existiert Schatten Stapel Aufgabe ausgeführt wird und aktiviert jederzeit einen Scanvorgang - in Echtzeit, geplant oder manuelle – tritt ein.
Der Angriff ist kaum spürbar
Nach Ormandy, der Angriff könnte völlig unmerklich unabhängig von den Zugriffsrechten sein. Die Sicherheitslücke erstreckt sich über alle Aktivitäten, wie die Installation von Programmen, Anmeldung in den Systembetrieb und Verbindung zugreifen.
Der Benutzer kann ohne erforderliche Interaktion gefährdet werden kann und nicht in irgendeiner Weise aufmerksam gemacht als I / O-Aufgaben üblichen Systemoperationen darstellen.
Die ESET Sicherheitslücke wurde im Juni berichtet 18 von Ormandy und vier Tage später veröffentlichte das Unternehmen ein Update für die Scan-Engine.