Um Ataque de Substituição do Argument Ignora a Maioria dos Softwares Anti-
Foi descoberta uma nova tática de ataque, que ignora a proteção de muitos dos aplicativos anti-vírus que estiverem sendo executados no Windows.
Os pesquisadores da Matousec.com, descobriram como os hackers podem explorar a maioria dos softwares de segurança do Windows, através de hooks da unidade kernel. Os softwares de segurança, tais como os aplicativos anti-vírus, utilizam os hoooks (ganchos) da unidade kernel, para redirecionar as chamadas de sistema do Windows através dos seus softwares, a fim de verificar se existe um código que possa ser mal-intencionado, antes que ele seja executado. Essa nova tática, que pode, em último caso, ultrapassar o software de segurança, basicamente troca o código de segurança (que já teve o sinal verde, pelo software verificador, para ser executado) pelo código malicioso.
Os detalhes exatos desse ataque de permuta são descritos em um artigo escrito pela Matousec, e publicado no seu site. Sabe-se que vários aplicativos de segurança de desktop do Windows, tais como os da McAfee, BitDefender, Sophos e até mesmo o da Symantec podem ser explorados, usando essa tática de alterar o argument (variável sobre a qual um operador ou função agem). Você pode pensar nisso como o software de segurança sendo o FBI à procura de um terrorista do sexo masculino, usando um boné de beisebol, em um jogo de beisebol. Um agente do FBI pode estar olhando diretamente para o rosto do terrorista e não fazer a menor idéia, porque, como ele se disfarçou como uma pessoa normal que está assistindo o jogo, isso diminuiu a chance do FBI suspeitar dele.
Alguns especialistas e até mesmo os fornecedores de softwares de segurança menosprezaram a ameaça, considerando-a um "ataque de mudança do argument." Eles hesitam em apoiar a idéia de que um ataque de mudança de argument possa representar uma ameaça grave, porque eles acham que este ataque é muito complicado e difícil de ser realizado no mundo real ou durante uma situação de ataque generalizado. Simplificando, eles acreditam que esse ataque não ultrapassa o software de segurança e nem permite que um malware seja completamente executado por si mesmo. Supostamente, as condições teriam de ser ideais e o problema está conectado apenas a certas características dos produtos de segurança.
Por outro lado, um ataque que estivesse usando a tática de troca do argument seria muito difícil de ser detido. Isso deveria dar superioridade aos hackers, no que diz respeito a contornar a segurança baseada em disco, fornecida por muitos aplicativos AV. Alfred Huger, vice-presidente de engenharia da Immunet (uma empresa de anti-virus, de Palo Alto, Califórnia) afirma: "Se alguém empacotar isso em uma biblioteca fácil de usar, eu acho que ele vai estar no jogo rapidamente, com adoção generalizada."
Embora os pesquisadores tenham concluído que os softwares anti-vírus não estão totalmente indefesos com relação a este tipo de ataque, você acha que isso poderia ser uma nova pandemia de ataques pelos hackers? Certamente, os fornecedores de anti-vírus vão sanar essa vulnerabilidade ou os estragos podem ocorrer antes que uma correção seja liberada por algumas das empresas de anti-vírus?