Uma anĂĄlise do emulador especĂfico de cĂłdigo usado nos produtos ESET (simulador de cĂłdigo) mostrou que ele nĂŁo era poderoso o suficiente e poderia ser facilmente comprometido, permitindo que um invasor assuma o controle total de um sistema executando a solução de segurança vulnerĂĄvel.
O emulador de cĂłdigo foi incorporado aos produtos antivĂrus da empresa e permite que arquivos ou notas sejam executados antes que o usuĂĄrio o faça. Esse processo ocorre em um ambiente isolado, para que o sistema real nĂŁo possa ser afetado.
Os dados coletados sĂŁo fornecidos ao analista de software heurĂstico, que decide se sua natureza mostra software malicioso ou suspeito.
O pesquisador Tavis Ormandy, do Google Project Zero, descobriu a vulnerabilidade no NOD32 Antivirus, mas afetou outros produtos em todas as versÔes (Windows, OS X e Linux), além de Endpoint e Business.
âMuitos produtos antivĂrus tĂȘm recursos de simulação. O ESET NOD32 usa um microfiltro ou kext (o nome vem da extensĂŁo do kernel) para monitorar E / S de disco. Diz Ormandia.
Como as funçÔes de E / S do disco podem ser acionadas de vĂĄrias maneiras, elas podem ser passadas para o disco de cĂłdigo malicioso, a partir de mensagens, arquivos, imagens ou outros tipos de dados. DaĂ a necessidade de um simulador de cĂłdigo forte e adequadamente isolado em soluçÔes antivĂrus.
Ormandy encontrou a falha, analisou-a e criou uma exploração remota da raiz em questĂŁo de dias, dizendo que poderia obter acesso total ao sistema da vĂtima.
No entanto, Ormandy relatou vulnerabilidade à ESET em 18 de junho e a empresa lançou imediatamente uma atualização para o mecanismo de verificação (apenas 4 dias depois).
VocĂȘ pode encontrar mais detalhes tĂ©cnicos sobre vulnerabilidade, alĂ©m de explorar a pĂĄgina de anĂșncio de vĂĄcuo de segurança.