在实际部署之前,各位企业用户应该对自己的杀毒产品进行一次彻底的安全性测试——理由很简单,目前针对这一技术领域的攻击活动风险正不断提升,COSEINC研究人员Joxean Koret指出。
COSEINC是一家来自新加坡的安全机构,在此前对17款主流杀毒引擎与产品进行密切关注后他们发现其中14款存在危险度极高且能够被本地及远程方式利用的安全漏洞。
Koret的分析报告还指出,这些杀毒软件供应商往往存在要求权限过高、缺乏明显的产品更新机制、交付安全性低下的HTTP、运行陈旧代码以及未能进行适当的源代码审查与修正等严重问题。
此次遭受批评的厂商包括Avira、BitDefender、ESET以及Panda,他们的产品中往往包含多种不同类型的本地与远程漏洞,一部分随后得到了修复、但也有一部分属于零日漏洞。
尽管这些核心杀毒引擎往往已经采用地址空间随机分布等防御措施,但在用户界面及特征库方面仍然存在功能缺失状况。某些主流产品甚至无法实现数据执行预防机制。
杀毒引擎通常利用C语言创建,因此往往存在缓冲与整数溢出问题。此外,已安装的操作系统驱动程序会造成本地权限提升,而受支持的大量文件格式也有可能各自引发不同的解析器漏洞。
杀毒引擎的功能越强大,留给恶意人士闯入内部网络的途径也就越多。出于这个原因,配备其它附加功能的杀毒软件应当与其它企业网络隔离开来。
“如果大家的应用程序运行在最高权限之下,且在使用过程中会安装内核驱动程序、数据包过滤器并试图接手计算机需要涉及的全部处理内容……那么各位的攻击面也将因此而大大增加,”Koret在Syscan 360的报告中解释称。
“杀毒引擎会给大家的计算机带来不同程度的性能损失,而且与本该受到保护的应用程序一样面临着零日攻击的严峻威胁。它们甚至会拉低操作系统的运行速度。”
“某些杀毒软件企业甚至根本没考虑过自己产品本身的安全性。”
杀毒软件在执行中使用的过高权限往往会成为攻击者们的跳板,因为此类软件往往要求拥有root或者系统级访问资格,他表示。
恶意人士可以利用这些可乘之机在更新提醒当中夹带私货,并利用HTTPS对那些“对设备拥有完全操作权限”的杀毒软件用户展开中间人攻击。
“利用杀毒引擎中的漏洞与利用其它客户端应用程序并没有什么区别。这类软件往往并不具备或者提供特殊的自我保护机制。它们的安全性完全依赖于操作系统功能(ASLR/DEP)而且仅此而已,有时候它们甚至会禁用这些功能。”
当然,Koret在调查中发现某些杀毒产品在响应安全问题方面比其它一些更为敏锐,其中Avast的表现最突出——它采取漏洞奖励机制,即为任何发现现有漏洞的用户提供奖金。相比之下,那些规模最大的安全方案供应商并没有拿出与之相匹配的丰富资源进行专门的安全漏洞研究。
Koret建议这些杀毒软件厂商在模拟器或者虚拟机环境下运行危险代码,这会大大提高攻击者执行危险代码的难度。
“为什么利用浏览器漏洞的难度反而高于安全产品?这是个值得深思的问题。”