Antywirus pod ostrzałem

Skutki udanego ataku na antywirusa mogą być poważniejsze od przełamania zabezpieczenia stacji roboczej.

Metoda kolejnych przybliżeń polegała na wykorzystaniu 7200 próbek złośliwego oprogramowania udostępnianego przez Arbor Malware Library w połączeniu z 10 motorami antywirusowymi. Analizowano odpowiedzi SMTP, przy czym udało się zidentyfikować rozwiązania firm: Antigen, Barracuda (wykorzystuje ClamAV), Border-Ware, ClamAV, IronPort (motor firmy Sophos), Kaspersky, Mirapoint, McAfee, MailFoundry, MailScanner (tu działał ClamAV), ProofPoint (motory McAfee oraz F-Secure), PureMessage, (Sophos), SmoothZap (ClamAV), Sophos, SonicWall (motory firm McAfee i Kaspersky), Symantec, Trend Micro oraz Untangle (motory ClamAV i Kaspersky).

Serwer wystawiony na atak

Każda luka w bezpieczeństwie programu antywirusowego jest zagrożeniem dla firmy, ale antywirus chroniący pocztę elektroniczną jest szczególnie narażony na atak. W odróżnieniu od stacji roboczej, do serwera pocztowego można wysłać dowolną wiadomość, niemal z każdej części Internetu, nawet bez znajomości adresów e-mail w organizacji. Szczegółowych logów z antywirusa zazwyczaj nikt nie sprawdza, a same motory też mają luki w bezpieczeństwie. Zatem przejęcie kontroli nad ochroną serwera pocztowego może być łatwiejsze niż się na pozór wydaje. Skutkiem udanego ataku może być naruszenie integralności serwera pocztowego i przejęcie kontroli nad nim, nad przesyłanymi przezeń wiadomościami e-mail, także tymi, które krążą w obrębie organizacji.

Badacze nie publikują jeszcze ostatecznych wyników, ale wiadomo że prace są bardzo zaawansowane, obejmują opracowanie eksploita, który miałby kontrolę nad urządzeniami firmy Barracuda za pomocą pojedynczej wiadomość e-mail. Z opublikowanych materiałów wynika także, że podobny atak teoretycznie można zrealizować przeciwko urządzeniom dowolnego dostawcy, wystarczy, by hacker znalazł w motorze antywirusowym odpowiednią lukę.

Rozwiązaniem, które podwyższy bezpieczeństwo, jest separacja skanerów antywirusowych od narzędzi serwera pocztowego, wprowadzająca dodatkową warstwę ochronną. Oddzielenie procesu skanowania antywirusowego poczty od przepływu wiadomości można zrealizować za pomocą wirtualizacji, dostępne są narzędzia (takie jak wtyczka milter), które umożliwiają skierowanie wiadomości do zbadania w osobnym środowisku. Dzięki temu kompromitacja modułu odpowiedzialnego za skanowanie antywirusowe nie spowoduje naruszenia bezpieczeństwa wszystkich wiadomości.