พบช่องโหว่ใน Kasersky Lab’ Security Software ในเครื่อง ATM และ Embedded System อื่นๆ ที่จะทำให้ Hacker สามารถ bypass ได้ง่ายๆ

Georgy Zaytsev จาก Positive Technologies Researcher พบช่องโหว่ในส่วนการควบคุมการรัน Application ของ Kaspersky Embedded Systems ใน version 1.1 และ 1.2 ขณะทำการตรวจสอบทางด้าน security ของเครื่อง ATM

ในส่วนดังกล่าวเกิดการสะเพร่าในการตรวจสอบหากไฟล์มีขนาดใหญ่มากเกินไป ทำให้ Kaspersky ไม่สามารถตรวจสอบไฟล์นั้นๆได้ นั่นหมายความว่า Malware สามารถผ่านการตรวจจับไปได้  โดยไฟล์ malware ดังกล่าวจำเป็นต้องมีส่วน execution data ที่มีขนาดใหญ่ระดับหนึ่งในส่วนท้ายของ ไฟล์ เมื่อโปรแกรมเริ่มทำงานตัวระบบจะทำการคำนวณค่า hash และ check ไปยัง list การ approve ว่าให้รันไฟล์ได้หรือไม่ได้ ซึ่งหากเป็นไฟล์ที่มีขนาดใหญ่ตัว process จะใช้เวลาที่กำหนดไว้ในการตรวจสอบ เมื่อเกินเวลาตัวโปรแกรมก็จะปล่อยให้โปรแกรมดังกล่าวรันได้เลย แต่พอครั้งถัดมาตัว Kaspersky จะไม่อนุญาตการรันของโปรแกรมดังกล่าวทันทีเพราะ process ที่ทำการตรวจสอบก็ไม่ได้ตายแต่อย่างใด ยังคงมีการทำต่อไปเรื่อยๆจนเสร็จ ทำให้ทราบว่า program ดังกล่าวเป็นไฟล์ที่ไม่ดี และได้มีการทำ caching ของ signature ของไฟล์ดังกล่าวไว้แล้ว จึงทำให้ครั้งที่ 2 จึงไม่สามารถรันได้นั่นเอง

อย่างไรก็ตาม researcher ได้ลองทำการรัน file หลายๆไฟล์พร้อมกัน ทำให้ตัว Kaspersky นั้น Hang ไป และทำให้ Researcher สามารถรัน file ต้องห้ามได้

ทาง Kaspersky ได้ออกมากล่าวว่าจะปล่อย update ใน version 2.0 และจะแก้ไขปัญหาดังกล่าวครับ นอกจากนี้ Kaspersky ยังร่วมมือกับ Positive Technologies ที่จะ patch ช่องโหว่อย่างอื่นที่พบด้วย นั่นคือการ disable ตัวควบคุมการรัน Application ด้วยการส่ง request พิเศษไปยังไฟล์ klif.sys ที่เป็น driver

หากผู้ใดเป็นผู้ให้บริการ Kaspersky ใน ATM สามารถทำการ patch ได้โดยใช้ KB13520. ซึ่งปล่อยมาตั้งแต่สิ้นเดือนมิถุนายน

Source:: TheRegister