Του Γιάννη Γορανίτη
Ένα κενό ασφαλείας των Windows θεωρείται «υπεύθυνο» για μια νέα, ιδιαίτερα επικίνδυνη τακτική επίθεσης από hackers. H επίθεση τύπου «zero-day» μπορεί να ανοίξει σε κακόβουλους χρήστες την «πίσω πόρτα» του υπολογιστή σας, αφού πρώτα απενεργοποιήσουν το antivirus.
Η άκρως ανησυχητική αυτή ανακοίνωση έγινε από την ερευνητική ομάδα της Cybellum, μιας εταιρείας ασφαλείας με έδρα το Ισραήλ. Η Cybellum αναπτύσσει μια πλατφόρμα ασφαλείας που προστατεύει τις συσκευές και κατ' επέκταση τους χρήστες από επιθέσεις τύπου «Zero-Day». Τα συγκεκριμένα exploits θεωρούνται τα υπερ-όπλα που έχουν στα χέρια του οι κακόβουλοι χρήστες, καθώς μπορούν να παρακάμψουν τις σουίτες ασφαλείας.
Είναι ενδεικτικό ότι το κακόβουλο λογισμικό τύπου Zero-Day ουσιαστικά αποτελεί μετεξέλιξη των γνωστών malware και ransomware, τα οποία οι hackers «πειράζουν» ελάχιστα (διαφοροποιούν κατά 1-2% τα χαρακτηριστικά τους), προκειμένου να περνούν κάτω από το ραντάρ των αντιικών προγραμμάτων. Η διαδικασία μετάλλαξης των κακόβουλων προγραμμάτων μπορεί να ολοκληρωθεί σε λιγότερο από 15 δευτερόλεπτα, χωρίς φυσικά ο χρήστης να αντιληφθεί το παραμικρό.
Ποια antivirus είναι ευπαθή;
Σύμφωνα με τα αποτελέσματα της έρευνας των τεχνικών της Cybellum, η πλειοψηφία των γνωστών προγραμμάτων ασφαλείας αποδείχτηκαν ευάλωτα στο συγκεκριμένο exploit. Μεταξύ αυτών, δημοφιλείς σουίτες ασφαλείας όπως οι: Avast, AVG, Avira, Bitdefender, Trend Micro, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal, και Norton.
Οι τεχνικοί της Cybellum αποκαλούν την επίθεση DoubleAgent («Διπλός Πράκτορας») προκειμένου να αναδείξουν τη φύση και τις συνέπειές της: Όταν οι hackers αξιοποιήσουν την ευπάθεια, μπορούν να ελέγξουν πλήρως το antivirus, μετατρέποντάς το από πρόγραμμα προστασίας σε κακόβουλο «εισβολέα». Η ιδιομορφία της επίθεσης έγκειται στο ότι ο χρήστης έχει την ψευδαίσθηση ότι το antivirus προστατεύει το μηχάνημά του, ενώ στην πραγματικότητα γίνεται το όχημα για να δεχθεί παραβίαση ή/ και επίθεση.
Η ευπάθεια κρίνεται ως ιδιαίτερα σημαντική, καθώς επιτρέπει στον επιτιθέμενο να μετατρέψει τον υπολογιστή σε «δούρειο ίππο» και να το χρησιμοποιήσει κατά βούληση, προφανώς για νέες επιθέσεις. Στην ουσία, του επιτρέπει να διαφοροποιήσει τους χαρακτηρισμούς black/white list «ξεγελώντας» τον υπολογιστή, ο οποίος συνεχίζει να δέχεται εντολές από ένα υποτιθέμενα αξιόπιστο πρόγραμμα. Πλέον όμως το antivirus έχει μετατραπεί σε malware, αφήνοντας εκτεθειμένα προσωπικά δεδομένα, ευαίσθητα στοιχεία και αρχεία.
Το κενό των Windows
Το συγκεκριμένο κενός ασφαλείας εντοπίστηκε σε όλες τις πρόσφατες εκδόσεις των Windows (από τα Windows XP μέχρι τη νεότερη έκδοση των Windows 10. Αυτό συμβαίνει καθώς το εργαλείο Application Verifier που διέθεσε η ίδια η Microsoft στους προγραμματιστές για να εντοπίζουν κενά ασφαλείας στις εφαρμογές τους, θεωρείται υπεύθυνο για την τρωτότητα του συστήματος.
Όπως αποκαλύφθηκε, το κενό ασφαλείας αφορά οποιαδήποτε εφαρμογή τρέχει σε περιβάλλον Windows. Απλώς χτυπούν εντονότερα το καμπανάκι ασφαλείας για τα antivirus, καθώς σε διαφορετική περίπτωση (αν δηλαδή λειτουργούσε η ασπίδα ασφαλείας), θα μπορούσε να ειδοποιηθεί ο χρήστης και βέβαια να απομονωθεί και να επιδιορθωθεί το μολυσμένο πρόγραμμα από το ενεργό antivirus.
Η τεχνική αναλύεται εκτενώς εδώ.
Τι κάνουμε για να προστατευτούμε;
Δυστυχώς, ως τελικοί χρήστες, δεν μπορούμε να κάνουμε πολλά. Αν o υπολογιστής μας έχει μπει στο στόχαστρο μιας zero-day επίθεσης, το καλύτερο που έχουμε να κάνουμε είναι να τον απενεργοποιήσουμε και να διακόψουμε τη σύνδεση του στο internet και το τοπικό δίκτυο. Αν βέβαια το αντιληφθούμε.
Λόγω της μεγάλης έκτασης του προβλήματος, λογικά αναμένουμε αναβαθμίσεις των προγραμμάτων ασφαλείας. Στην ανακοίνωση της Cybellum αναφέρεται ότι όλοι οι κατασκευαστές προγραμμάτων ασφαλείας έχουν ειδοποιηθεί εδώ και αρκετές εβδομάδες. Προς το παρόν πάντως μόνο η Malwarebytes, η AVG, και η Trend Micro έχουν διαθέσει δωρεάν patch επιδιόρθωσης σε όλους τους χρήστες.