Uma análise do emulador específico de código usado nos produtos ESET (simulador de código) mostrou que ele não era poderoso o suficiente e poderia ser facilmente comprometido, permitindo que um invasor assuma o controle total de um sistema executando a solução de segurança vulnerável.
O emulador de código foi incorporado aos produtos antivírus da empresa e permite que arquivos ou notas sejam executados antes que o usuário o faça. Esse processo ocorre em um ambiente isolado, para que o sistema real não possa ser afetado.
Os dados coletados são fornecidos ao analista de software heurístico, que decide se sua natureza mostra software malicioso ou suspeito.
O pesquisador Tavis Ormandy, do Google Project Zero, descobriu a vulnerabilidade no NOD32 Antivirus, mas afetou outros produtos em todas as versões (Windows, OS X e Linux), além de Endpoint e Business.
“Muitos produtos antivírus têm recursos de simulação. O ESET NOD32 usa um microfiltro ou kext (o nome vem da extensão do kernel) para monitorar E / S de disco. Diz Ormandia.
Como as funções de E / S do disco podem ser acionadas de várias maneiras, elas podem ser passadas para o disco de código malicioso, a partir de mensagens, arquivos, imagens ou outros tipos de dados. Daí a necessidade de um simulador de código forte e adequadamente isolado em soluções antivírus.
Ormandy encontrou a falha, analisou-a e criou uma exploração remota da raiz em questão de dias, dizendo que poderia obter acesso total ao sistema da vítima.
No entanto, Ormandy relatou vulnerabilidade à ESET em 18 de junho e a empresa lançou imediatamente uma atualização para o mecanismo de verificação (apenas 4 dias depois).
Você pode encontrar mais detalhes técnicos sobre vulnerabilidade, além de explorar a página de anúncio de vácuo de segurança.
