Avast Antivirus, hem kurumsal hem de bireysel kullanıcılara kapsamlı bir ağ güvenliği çözümü sunan yaygın bir yazılımdır. (http://www.avast.com/) Hemen her gün kullanıcılarına yeni program ve veritabanı güncellemeleri duyuran yazılımda geçtiğimiz günlerde çok ciddi sonuçlar doğurabilecek bir açıklık ile karşılaşıldı.

Thierry Zoller’in kişisel blogunda(http://blog.zoller.lu ) duyurduğu açıklık Avast tarafından da doğrulandı ve Security Focus veritabanında 17 Nisan tarihinde yayınlandı.

Açıklık özetle antivirüs yazılımının işleme/tarama motorunun bilinçli olarak hazırlanmış bir RAR arşiv dosyası sayesinde atlatılmasıyla gerçeklenmektedir. Normal çalışma döngüsünde tarama motoru dosyayı mantıksal ve yazılımsal açıdan inceler. Bahsedilen açıklıkta bu iki inceleme süreci atlatılır ve dosya doğal haliyle sürece devam eder. Bu bypass durumunu en kolay gerçekleme yolu bilinçli olarak hazırlanmış arşiv dosyalarıdır. Bunun altında yatan sebep arşiv dosyasının antivirus çözümü tarafından çözümlenemeyip (decompress) son kullanıcı arşiv çözümleme yazılımı ile çözümlenebilir şekilde bilinçli olarak hazırlanmasıdır.

Açıklık, tarama motorunun işlevini yerine getirememesi, servis dışı kalmasıyla sonuçlanmaktadır. Farklı çalışma ortamlarında etkisi düşünüldüğü zaman son kullanıcı tarafında zararlı arşivin atlatılması ve açılmasıyla (DÜŞÜK), ağ geçidi ya da Antivirüs anaçatısı tarafında atlatılmasıyla (YÜKSEK) zararlı sonuçlar doğurabilmektedir. Kullanıcı, ürün ya da gerçekleme olasılığına gore farklı etki seviyelerinde sınıflandırılabilecek sonuçlar doğurur:

Son kullanıcı tarafında düşük etkili:

Çünkü son kullanıcı makinalarında kullanılan antivirus yazılımlarında açıklığı gerçeklemek sadece takvimlenmiş taramalarda mümkündür. Bunun dışında son kullanıcı bilgisayarında arşiv dosyası açılırken gerçek zamanlı analiz motorunun çalışması hemen hiçbir üründe açıklık tarafından engellenememektedir. Bu sebeple ciddi bir risk oluşturmamaktadır.

Sunucu tarafında yüksek etkili:

Antivirüs ağ geçidi ürünlerinde (www, e-posta gibi) herhangi bir kullanıcı etkileşimi olmadığı için zararlı dosyanın taramayı atlatması oldukça mümkündür. Ancak son zamanlarda çoğu antivirus yazılım şirketinin ürünlerine “arşivi çözümleyemiyorsan paketi düşür” ilkesi getirmesiyle bu tip saldırıların etkilerinde de bir düşüş yaşanmaktadır.

Sunucu tarafında yüksek etkili:

Dosya sunucusu ve veritabanı sunucusundaki mekanizmalarda durum kritiktir. Sonkullanıcı etkileşimi çok düşük olduğu için etkilenme olasılığı yüksektir. 

Bütünleşik(in-the-cloud) güvenlik hizmetlerinde yüksek etkili:

Bu gibi servisler genellikle kullanıcıların açtığı arşivlere bakmazlar. Bu sebeple de açıklığın gerçeklenmesi anlamında ciddi riskler doğururlar.

Aşağıdaki şemada bir antivirus mekanizmasının çalışma prensibi gösterilmektedir. Bu açıklığın süreci ne kadar tehlikeli bir noktada devre dışı bıraktığı kolayca görülebilir.

Şekil 1. AV çalışma süreci ve atlatılma senaryosu

SONUÇ:

Avast Antivirüs yazılımında görülen bu açıklık 17 Nisan tarihinde ilk defa duyurulmuştu. İlk duyuruda az sayıda ürünün açıklıktan etkilendiği sanılmaktaydı. Ancak Avast’ın geri bildirimiyle hemen her çözümde (ağ geçidi / son kullanıcı) açıklığın mevcut olduğu anlaşıldı. Henüz açıklığı gerçekleyen bir zararlı örnek kod yayınlanmış değildir. Aynı şekilde Avast firması da herhangi bir güncelleme ya da yama da yayınlamamıştır.

Uygulamayı kullanan kurumların, açıklık barındıran versiyonları için Avast ile irtibata geçmesini ve acil çözüm önerileri talep etmelerini öneriyoruz.

REFERANSLAR:

http://www.securityfocus.com/bid/34578/info

http://blog.zoller.lu/2009/04/case-for-av-bypassesevasions.html

http://blog.zoller.lu/2009/04/release-mode-forced-release-vendor-has.html

http://www.avast.com/

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.