Een onderzoek van de code emulator in ESET-producten laat zien dat het was niet sterk genoeg, zodat het gemakkelijk kan worden aangetast. Dit op zijn beurt kan een aanvaller volledige controle over een systeem waarin het bedienen van de kwetsbare beveiligingsoplossing.
Voordat de gebruiker start uitvoerbare bestanden en scripts, antivirus producten lopen ze door middel van code-emulatie in het programma geïntegreerd, dan de activiteit bewaakt het systeem. Het proces gebeurt in een privé-omgeving, zodat het echte systeem niet kon worden beïnvloed.
Bug Loopt Tijdens Routine Scan Routine
De kwetsbaarheid in NOD32 Antivirus werd ontdekt door Tavis Ormandy van Google Project Zero. Bovendien, andere producten zoals versies van de consument voor Windows, Linux en OS X, als Business edities en Endpoint te worden beïnvloed.
In de kwetsbaarheid rapport, Ormandy stelt dat ESET NOD32 maakt gebruik van een minifilter of kext voor het aansluiten van alle disk I / O (invoer uitvoer) informatie die wordt geanalyseerd en vervolgens geëmuleerd als uitvoerbare code wordt gedetecteerd. Hij voegde daaraan toe dat veel antivirus producten emulatie efficiëntie die is ontworpen voor het geven van toestemming om ontpakkers om een paar cycli uitgevoerd voordat handtekeningen worden toegepast.
Niet-vertrouwde code kan door middel van de schijf wanneer bestanden passeren, afbeeldingen, berichten of een ander soort data wordt ontvangen als disk operaties I / O kan worden veroorzaakt op vele manieren. Daarom, de behoefte aan stabiele en goed geïsoleerde code emulator in antivirus-product is van cruciaal belang.
De kwetsbaarheid running schaduw stapeltaak en wordt geactiveerd wanneer een aftastbewerking - realtime, geplande of handmatige – voordoet.
De aanval is nauwelijks merkbaar
Volgens Ormandy, de aanval kon volledig onmerkbaar ongeacht toegangsrechten worden. De kwetsbaarheid strekt zich uit over alle activiteiten zoals het installeren van programma, inloggen in het systeem operaties en de toegang tot verbinding.
De gebruiker kan worden zonder gevaar vereist interactie en wordt niet gewaarschuwd geenszins als I / O taken vertegenwoordigen gebruikelijke systeemoperaties.
De ESET kwetsbaarheid werd gemeld op Juni 18 door Ormandy en vier dagen later het bedrijf een update uitgebracht voor de scan engine.