木曜日, 5月 06, 2010

【ZeroDay】KHOBE 8.0 - WindowsOS経由セキュリティソフトのセキュリティ問題

WindowsOS経由のマルウェア・セキュリティソフトの基本的なセキュリティ問題が発見されました。WindowsOS経由マルウェア対策ソフトのスキャン仕方が殆ど同じですが、System Service Descriptor Table(SSDT)のhook仕方を良く使います。
本件のセキュリティ問題はSSD hookTのセキュリティ攻撃の説明となり、マルウェアはこの情報を使えばマルウェア対策ソフトのチェックがバイパスになってしまいます。
本問題のセキュリティリスクレベルはCRITICALです。
発見日付: May 05, 2010
アップデート日付: May 05, 2010
Severity:Critical
Character:Complete system control, privilege escalation
再現仕方はセキュリティの為 シェアしません。

この問題に影響されたマルウェア対策ソフトウェアは下記となります↓
* 3D EQSecure Professional Edition 4.2
* avast! Internet Security 5.0.462
* AVG Internet Security 9.0.791
* Avira Premium Security Suite 10.0.0.536
* BitDefender Total Security 2010 13.0.20.347
* Blink Professional 4.6.1
* CA Internet Security Suite Plus 2010 6.0.0.272
* Comodo Internet Security Free 4.0.138377.779
* DefenseWall Personal Firewall 3.00
* Dr.Web Security Space Pro 6.0.0.03100
* ESET Smart Security 4.2.35.3
* F-Secure Internet Security 2010 10.00 build 246
* G DATA TotalCare 2010
* Kaspersky Internet Security 2010 9.0.0.736
* KingSoft Personal Firewall 9 Plus 2009.05.07.70
* Malware Defender 2.6.0
* McAfee Total Protection 2010 10.0.580
* Norman Security Suite PRO 8.0
* Norton Internet Security 2010 17.5.0.127
* Online Armor Premium 4.0.0.35
* Online Solutions Security Suite 1.5.14905.0
* Outpost Security Suite Pro 6.7.3.3063.452.0726
* Outpost Security Suite Pro 7.0.3330.505.1221 BETA VERSION
* Panda Internet Security 2010 15.01.00
* PC Tools Firewall Plus 6.0.0.88
* PrivateFirewall 7.0.20.37
* Security Shield 2010 13.0.16.313
* Sophos Endpoint Security and Control 9.0.5
* Trend Micro Internet Security Pro 2010 17.50.1647.0000
* Vba32 Personal 3.12.12.4
* VIPRE Antivirus Premium 4.0.3272
* VirusBuster Internet Security Suite 3.2
* Webroot Internet Security Essentials 6.1.0.145
* ZoneAlarm Extreme Security 9.1.507.000
* 上記の他ソフトのバーションの影響があるかもしれません
* その他kernel hooksを使いソフト

リファレンス↓
http://seclists.org/fulldisclosure/2010/May/65
http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php

追加リファレンス(2010年5月7日11:05JST)↓
1996年 本件と同じ内容WhitePaperがありました↓
http://nob.cs.ucdavis.edu/bishop/papers/1996-compsys/racecond.pdf
---
株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター

0 件のコメント:

コメントを投稿