Un examen de l'émulateur de code dans les produits ESET révèle que ce n'était pas assez fort pour qu'il puisse être facilement compromise. Cela à son tour permet à un attaquant de prendre le contrôle total d'un système d'exploitation de la solution de sécurité vulnérable.
Avant que l'utilisateur lance des fichiers exécutables et les scripts, les produits antivirus les exécuter par l'émulation de code intégré dans le programme, alors l'activité est surveillée dans le système. Le processus se déroule dans un environnement privé pour que le système réel ne pouvait pas être impacté.
Bug est en cours pendant routine d'analyse de routine
La vulnérabilité dans NOD32 Antivirus a été découvert par Tavis Ormandy de Google Project Zero. En outre, d'autres produits comme les versions grand public pour Windows, Linux et OS X, ainsi que les éditions d'affaires et le point final sont trop affectés.
Dans le rapport de la vulnérabilité, Ormandy indique que NOD32 utilise un minifiltre ou kext pour raccorder tous les E / S disque (entrée sortie) l'information qui est analysée, puis émulé si le code exécutable est détecté. Il a également ajouté que de nombreux produits antivirus ont une efficacité d'émulation qui est conçu pour donner l'autorisation de unpackers pour exécuter quelques cycles avant que les signatures sont appliquées.
Code non sécurisé peut passer à travers le disque lorsque les fichiers, images, messages ou un autre type de données sont reçues comme des opérations de disque E / S peut être provoquée de plusieurs façons. Donc, la nécessité d'un émulateur de code stable et correctement isolé dans le produit antivirus est crucial.
La vulnérabilité existe dans l'exécution de la tâche pile d'ombre et active tout moment une opération de balayage - en temps réel, prévue ou manuel – se produit.
L'attaque est à peine perceptible
Selon Ormandy, l'attaque pourrait être tout à fait indépendamment imperceptibles des droits d'accès. La vulnérabilité se répand sur toutes les activités que l'installation de programmes, connecter le fonctionnement du système et l'accès à la connexion.
L'utilisateur pourrait être mis en danger sans interaction nécessaire et n'alerté en aucune façon que les tâches d'E / S représente le fonctionnement du système habituel.
La vulnérabilité a été rapportée ESET en Juin 18 par Ormandy et quatre jours plus tard, la société a publié une mise à jour pour le moteur d'analyse.