在實(shí)際部署之前,各位企業(yè)用戶(hù)應(yīng)該對(duì)自己的殺毒產(chǎn)品進(jìn)行一次徹底的安全性測(cè)試——理由很簡(jiǎn)單,目前針對(duì)這一技術(shù)領(lǐng)域的攻擊活動(dòng)風(fēng)險(xiǎn)正不斷提升,COSEINC研究人員Joxean Koret指出。
COSEINC是一家來(lái)自新加坡的安全機(jī)構(gòu),在此前對(duì)17款主流殺毒引擎與產(chǎn)品進(jìn)行密切關(guān)注后他們發(fā)現(xiàn)其中14款存在危險(xiǎn)度極高且能夠被本地及遠(yuǎn)程方式利用的安全漏洞。
Koret的分析報(bào)告還指出,這些殺毒軟件供應(yīng)商往往存在要求權(quán)限過(guò)高、缺乏明顯的產(chǎn)品更新機(jī)制、交付安全性低下的HTTP、運(yùn)行陳舊代碼以及未能進(jìn)行適當(dāng)?shù)脑创a審查與修正等嚴(yán)重問(wèn)題。
此次遭受批評(píng)的廠(chǎng)商包括Avira、BitDefender、ESET以及Panda,他們的產(chǎn)品中往往包含多種不同類(lèi)型的本地與遠(yuǎn)程漏洞,一部分隨后得到了修復(fù)、但也有一部分屬于零日漏洞。
盡管這些核心殺毒引擎往往已經(jīng)采用地址空間隨機(jī)分布等防御措施,但在用戶(hù)界面及特征庫(kù)方面仍然存在功能缺失狀況。某些主流產(chǎn)品甚至無(wú)法實(shí)現(xiàn)數(shù)據(jù)執(zhí)行預(yù)防機(jī)制。
殺毒引擎通常利用C語(yǔ)言創(chuàng)建,因此往往存在緩沖與整數(shù)溢出問(wèn)題。此外,已安裝的操作系統(tǒng)驅(qū)動(dòng)程序會(huì)造成本地權(quán)限提升,而受支持的大量文件格式也有可能各自引發(fā)不同的解析器漏洞。
殺毒引擎的功能越強(qiáng)大,留給惡意人士闖入內(nèi)部網(wǎng)絡(luò)的途徑也就越多。出于這個(gè)原因,配備其它附加功能的殺毒軟件應(yīng)當(dāng)與其它企業(yè)網(wǎng)絡(luò)隔離開(kāi)來(lái)。
“如果大家的應(yīng)用程序運(yùn)行在最高權(quán)限之下,且在使用過(guò)程中會(huì)安裝內(nèi)核驅(qū)動(dòng)程序、數(shù)據(jù)包過(guò)濾器并試圖接手計(jì)算機(jī)需要涉及的全部處理內(nèi)容……那么各位的攻擊面也將因此而大大增加,”Koret在Syscan 360的報(bào)告中解釋稱(chēng)。
“殺毒引擎會(huì)給大家的計(jì)算機(jī)帶來(lái)不同程度的性能損失,而且與本該受到保護(hù)的應(yīng)用程序一樣面臨著零日攻擊的嚴(yán)峻威脅。它們甚至?xí)筒僮飨到y(tǒng)的運(yùn)行速度。”
“某些殺毒軟件企業(yè)甚至根本沒(méi)考慮過(guò)自己產(chǎn)品本身的安全性。”
殺毒軟件在執(zhí)行中使用的過(guò)高權(quán)限往往會(huì)成為攻擊者們的跳板,因?yàn)榇祟?lèi)軟件往往要求擁有root或者系統(tǒng)級(jí)訪(fǎng)問(wèn)資格,他表示。
惡意人士可以利用這些可乘之機(jī)在更新提醒當(dāng)中夾帶私貨,并利用HTTPS對(duì)那些“對(duì)設(shè)備擁有完全操作權(quán)限”的殺毒軟件用戶(hù)展開(kāi)中間人攻擊。
“利用殺毒引擎中的漏洞與利用其它客戶(hù)端應(yīng)用程序并沒(méi)有什么區(qū)別。這類(lèi)軟件往往并不具備或者提供特殊的自我保護(hù)機(jī)制。它們的安全性完全依賴(lài)于操作系統(tǒng)功能(ASLR/DEP)而且僅此而已,有時(shí)候它們甚至?xí)眠@些功能。”
當(dāng)然,Koret在調(diào)查中發(fā)現(xiàn)某些殺毒產(chǎn)品在響應(yīng)安全問(wèn)題方面比其它一些更為敏銳,其中Avast的表現(xiàn)最突出——它采取漏洞獎(jiǎng)勵(lì)機(jī)制,即為任何發(fā)現(xiàn)現(xiàn)有漏洞的用戶(hù)提供獎(jiǎng)金。相比之下,那些規(guī)模最大的安全方案供應(yīng)商并沒(méi)有拿出與之相匹配的豐富資源進(jìn)行專(zhuān)門(mén)的安全漏洞研究。
Koret建議這些殺毒軟件廠(chǎng)商在模擬器或者虛擬機(jī)環(huán)境下運(yùn)行危險(xiǎn)代碼,這會(huì)大大提高攻擊者執(zhí)行危險(xiǎn)代碼的難度。
“為什么利用瀏覽器漏洞的難度反而高于安全產(chǎn)品?這是個(gè)值得深思的問(wèn)題。”