Vulnerabilitate descoperita in driverele de integrare in kernel ale programelor de securitate

vulnerabilitate khobeInca din luna septembrie a anului 2007, s-a descoperit o “boala” a zeci de produse de securitate pentru sistemul de operare Windows.  Problemele din acea vreme se caracterizau printr-o vulnerabilitate a driverelor de integrare in kernel care puteau fi exploatate cu usurinta.

In ultima perioada, s-a descoperit o alta problema care poate duce pana la oprirea unor servicii implementate de produsele respective. Protectia oferita poate fi oprita printr-un cod care rulează pe un cont de utilizator neprivilegiat.

Majoritatea celor care creeaza aceste amenintari informatice numite virusi, cauta o metoda cat mai buna in a opri tehnicile de detectie a prgramelor antivirus. Pentru a evita acest lucru, producatorii de programe de securitate au modificat codul kernelului.  In schimb, studiile din 2007 au aratat ca acestea fac mai mult rau decat bine, deoarece aduc mai multe probleme in sistemul de operare care pot fi exploatate usor.

Desi constienti, producatorii au parut dezinteresati de vulnerabilitatea prezentata. Aceasta metoda de atac folosita de virusi pentru a stopa mecanismul de protectie al Antivirusilor este numita KHOBE.


In principiu functioneaza prin trimiterea unui cod benign care trece peste dectectia programului si inainte de a fi executat, opreste functiile printr-un cod malitios. Totusi, exploit-ul are limitele lui,deoarece ii trebuie un cod exact si de mari dimensiuni care sa fie introdus in sistem, facandu-l vulnerabil la atacurile de tip shellcode care se sprijina pe timpul necesitat pentru infectarea completa si abilitatile de tip rootkit.

Pana si un utilizator fara drepturi administrative ar putea folosi acest atac pentru a opri Antivirusul desi acest lucru este practic imposibil pentru un astfel de user.

Mai multe detalii: KHOBE – 8.0 earthquake for Windows desktop security software


New attack bypasses virtually all AV protection

Experta in devirusare si securitate IT, urmeaza cursurile BleepingComputer.com, unde este Malware Study Hall Senior.

3 responses to “Vulnerabilitate descoperita in driverele de integrare in kernel ale programelor de securitate”

  1. Tweets that mention Vulnerabilitate descoperita in driverele de integrare in kernel ale programelor de securitate -- Topsy.com

    […] This post was mentioned on Twitter by C R. C R said: Vulnerabilitate descoperita in driverele de integrare in kernel ale programelor de securitate: Inca din luna septe… http://bit.ly/dCDSZh […]

  2. gusteru

    Interesant, citeodata ma sperie cita imaginatie au unii.Nu am inteles cum se manifesta aceasta vulnerabilitate si cum se poate depista o eventuala intruziune avand in vedere faptul ca afecteaza atit antivirusul cit si firewall-ul.
    PS:n-ar fi rau sa dezvolti mai mult acest articol, engleza folosita pe matousec contine multi termeni specifici si tehnici.Poti pune si tabelul cu programele afectate.

    1. Radu FaraVirusi(com)

      @gusteru: Toate programele sunt afectate 🙂

Leave a Reply