Een nieuw onderzoek van 'RACK911 Labs' toont hoe hackers met een simpele methode de antivirussoftware van 'McAfee' en 'Windows Defender' kunnen omzeilen.
In een blogpost kondigde het onderzoeksteam van RACK911 Labs een simpele methode aan om bijna elke antivirussoftware te omzeilen. Met directory junctions in Windows en symlinks in MacOS en Linux kunnen hackers de software zo manipuleren dat het zichzelf uitschakelt. Onder andere Kapersky Endpoint Security, BitDefender GravityZone en Norton Security bleken kwetsbaar voor deze methode.
Korte tijdsspanne
Het idee achter de methode is simpel en maakt gebruik van de manier waarop antivirussoftware werkt. Wanneer een onbekend bestand op de harde schijf wordt opgeslagen, voert de software een scan uit. Als het bestand een bedreiging voor het systeem vormt, wordt de file automatisch in quarantaine geplaatst of verwijderd. De korte tijdsspanne tussen die eerste scan en de acties om de software onschadelijk te maken, geeft hackers echter de kans om toe te slaan. Via een directory junction (Windows) of een symlink (Linux & macOS) die gebruikmaakt van de bevoorrechte bestandsbewerkingen kunnen cybercriminelen de software uitschakelen of het besturingssysteem verstoren zodat de antivirus niet meer werkt. Hieronder vind je een overzicht van de getroffen systemen.
Overzicht van getroffen antivirussoftware
Impact van deze kwetsbaarheid
RACK911 Labs waarschuwt voor de impact van deze kwetsbaarheid. Omdat het om een relatief simpele methode gaat, is het voor een ervaren hacker kinderspel om de tactiek uit te buiten. Enkel timing is een mogelijk pijnpunt. Cybercriminelen moeten exact weten wanneer ze moeten toeslaan om het systeem te doen werken. Toch zou dat voor getrainde hackers met toegang tot de juiste informatie geen probleem moeten zijn.
Antivirus aanbieders
Het onderzoek van RACK911 Labs dateert ondertussen van eind 2018. Om hackers geen kans te geven deze methode uit te buiten, verwittigde het bedrijf verschillende antivirus aanbieders om wijzigingen in hun code te maken. Zo konden cybercriminelen in de tussentijd geen schade aanrichten. Ondertussen zouden de meeste vendoren de kwetsbaarheid in hun systemen al hebben aangepakt. Enkele bedrijven – die niet verder worden genoemd in de blogpost – werken nog steeds aan een fix.
Updaten
Om te voorkomen dat hackers ook jouw antivirus omzeilen, is het nu belangrijk om updates in de software uit te voeren. Zo kan je potentiële schade voorkomen.
Bron: techpulse
Schrijver: Sarah Menu