Khobe niet fataal voor antivirus
De Khobe-aanval maakt antivirussoftware niet nutteloos.
De Khobe-aanval die door Matousec wordt beschreven, maakt antivirussoftware niet nutteloos, aldus Eicar, de Europese vereniging van security-experten.
Onder de titel “KHOBE – 8.0 earthquake for Windows desktop security software” beschrijft Matousec.com – een project van Difinex Ltd – hoe de interactie tussen antivirussoftware (AV) en het besturingsysteem kan worden omzeild. Daardoor kan malware binnensluipen in een systeem, onder het mom van een stuk software dat werd veilig verklaard. Matousec publiceert een lijst van AV-pakketten die hiervoor kwetsbaar zijn, en die omvat schier alle gekende en gereputeerde merken.
De claim van Matousec werd in de marge van de jaarlijkse EICAR-conferentie besproken en gerelativeerrd, aldus Eddy Willems, directeur communicatie van Eicar en security evangelist bij G Data Security Labs. Zoals de studie aangeeft is het geen fundamenteel nieuwe dreiging en hebben de AV-producenten er al onderzoek naar verricht.
Zo blijkt de aanval verre van makkelijk uit te voeren en werd die zeker nog niet in de dagelijkse praktijk gesignaleerd. Bovendien bevatten de hedendaagse AV-pakketten bijkomende beschermingsmechanismen die onder meer verdacht gedrag na een besmetting opsporen, zodat “AV-software zeker niet plots waardeloos is.”
Het onderstreept wel de nood aan een ‘verdediging in lagen’ (defense in layers, defense in depth), waarbij meerdere verdedigingssystemen worden gecumuleerd (AV, firewall, beveiliging van eindgebruikerstoestellen,…). Ook wordt aanbevolen om naast regelmatige updates van securityinformatie (virus-‘signatures’) ook oude pakketten te vervangen door nieuwere versies. Security-diensten in de ‘cloud’ kunnen voorts complementaire diensten bieden, maar “een locale bescherming blijft nodig, bijvoorbeeld om besmettingen vanaf mobiele datadragers als geheugensticks te voorkomen”, aldus nog Willems.
Willems plaatst overigens ook vragen bij het tijdstip van Matousecs aankondiging (net voor de Eicar-conferentie) en bij Matousecs vragen van “vrij hoge sommen geld” voor een (bijkomende) studie.
Fout opgemerkt of meer nieuws? Meld het hier