首页 > 信息安全 > 正文

杀毒软件可能令企业用户陷入更大危机

2016-01-14 10:39:19  来源:51CTO

摘要:自去年6月开始,研究人员就发现并报告了来自各类杀毒产品中的数十项严重缺陷,其相关厂商包括卡巴斯基实验室、ESET、Avast、AVG Technologies、英特尔Security(原McAfee)以及Malwarebytes等等。
关键词: 杀毒软件
 
  入侵杀毒产品难度极低
 
  杀毒软件是由人类所创造,而人类总会犯错误。当然,我们不可能要求此类程序完全不存在任何bug,但正常来讲杀毒产品中的安全缺陷较其它软件类型要更少,其利用难度也相应更高一些。
 
  我们也有理由认为各企业成为IT安全行业中的组成部分,包括严格遵循安全编程指南以在自家产品当中实现常见的反漏洞防御机制,并定期执行代码审计与漏洞测试。
 
  然而遗憾的是,以上观点只是我们的一厢情愿——杀毒业界的实际情况并非如此。
 
  杀毒程序需要有能够对来自多种来源的数据及文件类型进行检查,具体包括网页、电子邮件、本地文件系统、网络共享信息、USB接入存储设备乃至更多。这些杀毒产品亦由大量组件所构成,旨在实现多层级保护效果:负责拦截网络流量的驱动程序、负责与浏览器及邮件客户端相集成的插件、图形用户界面、执行基于签名、行为以及云环境的杀毒引擎扫描子系统等等。
 
  对于安全研究人员来说,这种丰富的功能与定位意味着庞大的攻击面,也就是说攻击者能够以多种方式从其中找到大量潜在漏洞代码。另外,在对杀毒软件进行审视时,我们会发现其中有大量代码拥有极高的运行权限,而这一直是安全研究人员应该尽可能避免的作法。
 
  研究结果显示,杀毒产品会提供“易于被利用的攻击面,并显着增加目标遭受针对性攻击的机率,”谷歌公司安全研究员Tavis Ormandy在去年9月的一篇博文当中指出。在这篇文章中,他同时对自己在过去几个月内所发现的杀毒软件漏洞做出了分析。“出于这个原因,各安全产品供应商有责任尽可能提升安全开发标准,从而最大程度降低其软件造成危害的可能性。”
 
  自去年6月以来,Ormandy先后从来自ESET、卡巴斯基实验室、AVG以及Avast等厂商的杀毒产品当中发现并报告了超过25种安全漏洞。而在此之前,他还曾经从Sophos以及微软的产品中发现类似的安全缺陷。
 
  Ormandy所发现的大部分安全缺陷源自对文件及数据的解析操作,而这也是历史上此类漏洞的一种惯有来源。
 
  “未来,我们将看到更多杀毒软件拆包工具、模拟器以及沙箱解析方案,从而保证其无需以SYSTEM权限加以运行,”Ormandy指出。“Chromium沙箱属于开源项目且为众多主流产品所使用。请不要坐等网络蠕虫将矛头指向我们的产品,或者执行面向用户的针对性攻击,马上行动将沙箱机制加入到各位的发展路线图中来。”
 
  Ormandy并不是第一位对杀毒产品中缺少沙箱等安全应对机制,且各组件以系统级别权限加以运行这一现状发出警告的专家。
 
  2014年,一位名为Joxean Koret的安全研究人员就曾发现14款杀毒产品及其扫描引擎中存在着远程与本地可利用安全缺陷。他给出的建议与Ormandy大致相同。
 
  根据Koret的说明,杀毒行业至少应当采取权限隔离以及沙箱机制等技术手段提供较高的安全水平,同时也需要尽可能对杀毒产品本身进行保护。
 
  目前有很多此类程序中存在着可被中间人攻击所利用的漏洞,因为它们并未使用SSL/TLS进行通信,而其下载的各组件往往亦不具备签名。它们没有采用任何现代浏览器所广泛拥有的反漏洞机制,也没有使用模拟方式扫描可执行文件或者选择内存安全语言,他通过邮件告诉我们。
 
  更糟糕的是,有证据表明很多杀毒产品甚至根本没有针对安全缺陷进行过适合的合规审计,Koret表示。“举例来说,着眼于Tavis Ormandy所发现的各安全漏洞,我们明显可以发现其从未对软件本身进行过审计,因为此类安全漏洞完全可以在每周一次的固定评估过程中被审计工具所发现。”
 
  为了避免潜在的扩散可能性,杀毒软件厂商应当尽可能降低产品运行所采用的权限级别,添加沙箱敏感性功能并确保其代码拥有理想的安全水平与成熟度,漏洞情报企业Risk Based Security(简称RBS)公司首席研究官Carsten Eiram指出。
 
  自2010年1月1日开始,已被正式报告的安全软件与设备内安全漏洞已经多达1773个——其中2015年曝出的有372个,而且大部分都可通过输入篡改的方式被实际利用,RBS公布的数据显示。
 
  “安全供应商应当承担起提高安全编码标准的责任,”Eiram表示。“从安全产品解析功能中发现这么多安全漏洞确实令人觉得非常尴尬,因为这长久以来一直被视为主要安全威胁之一。而当上述解析功能以SYSTEM权限运行时,其造成的后果自然更加严重。”
 
  在大多数情况下,杀毒软件供应商往往认为沙箱机制并不适用于杀毒产品,因为这会对性能造成一定影响。一部分厂商甚至宣称,他们会采取其它一些可行方式——例如降低运行权限、执行路由安全评估并开发出其它能够实现等同于沙箱之效果的技术方案。
 
  赛门铁克公司正致力于降低其产品及服务的攻击面。根据该公司的说法,其方案旨在以尽可能低的权限级别运行安全组件,从而降低攻击活动的实现可能性。
 
  而根据卡巴斯基实验室的说法,实际解决安全漏洞的复杂程度要远比单纯使用某种技术手段更高。该公司推出了一系列技术成果,并宣称其能够为客户带来最理想的保护效果。举例来说,其使用多种机器学习算法以使用公司收集到的大规模安全情报与专业知识。
 
  “尽管使用‘沙箱’方案似乎是种更为简单的办法,但其存在着诸多严重缺点,包括影响性能、执行效率以及兼容性,”卡巴斯基公司的Zakorzhevsky解释称。
 
  英特尔Security/McAfee公司则表示当得知存在某项潜在问题时,其会立即进行调查以验证其有效性、性质以及严重程度,并据此制定修复策略。
 
  我想可能没有人会质疑杀毒软件厂商对安全缺陷的发现速度以及尽快发布修复补丁的能力。事实上,其中一些厂商拥有惊人的响应速度,其产品在配置中也默认提供自动更新设计。然而真正的问题在于,相当一部分安全缺陷类型其实自开发阶段起就一直存在于此类产品当中。
 
  赛门铁克与英特尔Security双方都拒绝解决与沙箱技术相关的具体问题、杀毒产品面临攻击行为的可能性、此类产品在检测目标攻击时的具体成效或者其它安全研究人员们所提出的批评意见。
 
  杀毒方案供应商Bitdefender公司指出,谷歌公司推出的类沙箱解决方案不太可能成为安全产品中的有效技术选项。“反恶意软件解决方案每秒都需要拦截数千个系统事件并对其进行沙箱处理,这会给系统整体带来可观的性能影响,甚至远远超出操作系统供应商的可容忍限度。”
 
  Bitdefender公司同时宣称,其大部分产品组件——例如反恶意引擎主动威胁控制子系统——已经以等同于当前所登录用户的权限水平加以运行,且正在利用代理进程来限制其中以系统权限运行的组件数量——包括该公司的消费级产品。
 
  在企业级产品方面,该公司开发出了一套名为Gravity Zone的解决方案,允许管理员在网络上的不同设备运行扫描服务,而非像过去那样面向端点——另外,其最近还推出了HVMI(即基于虚拟机管理程序的内存审查)技术,能够通过在操作系统之外部署Type 1虚拟机管理程序的方式彻底对反恶意解决方案加以隔离。
 
  “这类隔离机制能够将反恶意引擎同rootkit或者其它运行在用户环境下的漏洞区分开来,”该公司强调称。
 
  Avast公司并没有就此做出评论,而Malwarebytes、AVG以及ESET等厂商则明确拒绝在本文发布之前给出回应——虽然我们提供了充足的反应时间。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。