- The Register és VH saját forrásból -
A való életben nehezen használható ki a bonyolult időzítési sebezhetőség.

A Matousec nevű, hírhedten nehéz tűzfal-tesztjeiről ismert biztonsági csoport ismét rátett egy lapáttal. Legújabb bejelentésük szerint az általuk felfedezett Khobe támadás képes becsapni majdnem három tucat elterjedt víruskereső programot - különösen ha azok többmagos processzorral rendelkező számítógépen futnak.

A csapat által eddig kiadott, a személyi tűzfalak képességeit gyakran elégtelennek ítélő felméréseket sokan kritizálják, mert a mindennapi használatban ésszerűtlenül széles körű és szigorú adatszivárgás elleni védelmet várnak el a termékektől - ami az otthoni felhasználóknak készült megoldásokban erősen a kezelhetőség rovására menne.

A mostani, antivírus témájú Matousec-tanulmány ennél sokkal objektívebb kérdést fejteget. Az érintett programok gyártói sem tagadják, hogy a tesztelő csapatnak alapvetően igaza van, a sebezhetőség létező probléma és korlátozott felhasználói jogokkal is kihasználható - bár a gyakorlatban a helyzet nem olyan súlyos, mint azt a felfedezők állítják.

Digitális bűvészmutatvány
A Khobe támadás, amely egy 15 évvel ezelőtti történt súlyos japán földrengésről kapta a nevét, valóban küldhet ártalmatlan kódot elemzésre a víruskereső Windows operációs rendszerbe mélyen beépült System Service Descriptor Table moduljának, vagy hasonló funkciójú ún. kernel hook-jának (hurokjának) - amit az ellenőrzés után, de még a tényleges futtatás előtt bűvészi gyorsasággal kártevőre kicserélve a gép észrevétlenül megfertőzhető.

Szerencsére az ún. végrehajtási versenyhelyzetet támadó kód hatékonyságát a laborokon kívül több tényező is korlátozza. A trükk ugyanis rendkívüli gyorsaságot és nagy pontosságú időzítést követel, hogy a kártevő a védelmi folyamatok közti időkésést ki tudja használni. Erre leginkább a több processzor-maggal felszerelt számítógépek esetén van lehetőség - bár igaz, hogy ma már éppen ez a kategória a legelterjedtebb az újonnan gyártott PC-k között.

Hacker-eszköznek korlátozottan alkalmas
A Khobe rés kártékony célú kihasználását a gyakorlatban leginkább a bevetéséhez szükséges, viszonylag nagy kódmennyiség igénye hátráltatja - emiatt ugyanis a jelenlegi ismeretek szerint nem alkalmas a manapság gyakori, lopakodó jellegű, kártékony vagy feltört weblapokon keresztül ható támadások végrehajtására.

A Metasploit csapat tagja H. D. Moore és a sztárhacker, Charlie Miller által adott elsődleges vélemények szerint az új Khobe sebezhetőség megfelelő lehet arra, hogy Adobe Acrobat vagy Sun Java alkalmazói szoftverek elleni támadással kombinálják. Az exploit kódot ezeken a közvetítő csatornákon át a rendszerbe juttatva illetéktelenül ki lehetne kapcsolni vagy el lehetne távolítani a gépen lévő biztonsági programot - ami utat nyithat számos további fertőzésnek is.

Pánikra semmi ok!
Az antivírus cégek egyelőre nyugalomra intenek az ügyben, amíg közzéteszik alapos és részletes sajtóközleményüket - a hibát egyébként előzetes véleményük szerint mérsékelt jelentőségűnek minősíthetjük. A modern védelmi programok ugyanis több működési szintből állnak, amiből a Khobe támadás csak egyet tört át - hangsúlyozza a finn F-Secure antivírus cég partnereknek küldött tájékoztatása.

A Khobe trükk kihasználása ráadásul egy előzetes, legalább korlátozott szintű kódfuttatási jogosultságot igényel - ami még a Microsoft sebezhetőségeket osztályozó rendszerében is maximum közepes besorolásra lenne elég. Javítás természetesen várható, hiszen minden biztonsági rést be kell foltozni, ha arra gyakorlati lehetőség kínálkozik, de ez jelen esetben sajnos nem oldható meg rövid távon.

Elképzelhető, hogy az új, megerősített időzítés-védelmű szoftveres mechanizmusok a jelenlegi verziókban még nem, csak az idén nyár végétől megjelenő, 2011-es évjáratú biztonsági programokban kapnak majd helyet - addig a gyártók szigorúbb adatbázis-frissítésekkel óvhatják a felhasználók gépeinek épségét.

(forrás: virushirado.hu)