Sebezhetőek voltak a Kaspersky alkalmazásai

A Kaspersky Lab hivatalosan is elismerte, hogy egy újabb biztonsági rést kellett befoltoznia egyes védelmi alkalmazásain.
 

A szoftveres sérülékenységek éppúgy sújtják a biztonsági szoftvereket, mint például az operációs rendszereket vagy a különféle programokat. A védelmi alkalmazásokat érintő sebezhetőségekről ugyanakkor kevesebb szó esik, ugyanis általában hamar megszüntetik azokat a fejlesztők, és a háttérben automatikusan települnek a javítások a felhasználók közreműködése, illetve tudta nélkül. Ugyanakkor Tavis Ormandy, a Google biztonsági kutatója egy olyan sérülékenységre lett figyelmes, amelyet meglehetősen sokáig tartott kijavítani egyes Kaspersky szoftverekben.
 
Ormandy szeptember 11-én jelezte a Kaspersky Lab illetékeseinek, hogy az Anti-Virus és az Internet Security alkalmazások egy olyan biztosági hibát rejtenek, amit a támadók a saját céljaikra fordíthatnak. A hibajavítások végül október 6-ára készültek el, és automatikusan fel is kerültek az érintett rendszerekre. Vagyis a sebezhetőség már nem jelent kockázatot. Ennek ellenére egy olyan tanulságos hibáról van szó, amit érdemes egy kicsit alaposabban is szemügyre venni.
 
A sebezhetőséget a két népszerű alkalmazásban található úgynevezett Network Attack Blocker összetevő tartalmazta, amelynek a feladata, hogy részt vegyen a kártékony hálózati tevékenységek blokkolásában. Így például elősegíti a szolgáltatásmegtagadási (DoS) támadások, a port szkennelések és egyes puffertúlcsordulási hibák kockázatának csökkentését. Azonban ez - a sérülékenység miatt - a támadók kezére is játszhatott volna, ha nem egy fehérkalapos hacker fedezi fel elsőként a hibát, és jelzi a problémát a gyártónak.
 
Ormandy szerint a hibát a komponens TCP-kezelése okozta, aminek következtében a szoftver megtéveszthetővé válhatott az ahhoz tartozó állapotfüggetlen csomagszűrön keresztül. A Network Attack Blocker minták, szignatúrák alapján ismeri fel a nemkívánatos hálózati aktivitást és az ártalmasnak ítélt IP-címeket. A biztonsági rés kihasználásával azonban a támadók elérhették volna, hogy az összetevő legális oldalakat, szolgáltatásokat is blokkoljon.
 
Felmerülhet a kérdés, hogy miért veszélyes a legális tartalmak jogosulatlan blokkolása? Elsősorban azért, mert így a támadók olyan szolgáltatásokat is térdre kényszeríthetnek, amelyek a védelem fenntartásához elengedhetetlenek. Az ilyen módon sebezhető gépekről elérhetetlenné tehetik például a Windows Update szolgáltatást, vagy a biztonsági szoftverek frissítését végző kiszolgálókat.
 
"A Kaspersky Lab kijavította az IP-címek blokkolásával kapcsolatos rendellenességet a Network Attack Blocker összetevő esetében. Köszönetet szeretnénk mondani Tavis Ormandynak, aki felelősségteljes módon jelezte számunkra a problémát" - nyilatkozta a biztonsági cég. A vállalat hangsúlyozta, hogy jelenleg nincs tudomása arról, hogy a szóban forgó sérülékenységet korábban bárki kihasználta volna.