آسیب‌پذیری ضدویروس‌ها؛ نگاهی به واکنش‌ها

12 اردیبهشت امسال، شرکت SentinelOne گزارشی را منتشر کرد که در بخشی از آن به سوءاستفاده گروه Moshen Dragon از برخی برندهای ضدویروس اشاره شده است.

Moshen Dragon که گروهی منتسب به هکرهای حرفه‌ای چینی است حمله سایبری به شرکت‌های مخابراتی به کشورهای آسیای میانه را در کارنامه دارد.

بر اساس گزارش مذکور، مهاجمان با اکسپلویت آسیب‌پذیری DLL Hijacking از دسترسی بالای محصولات امنیتی بر روی دستگاه قربانی جهت فراخوانی ابزارهای مخرب PlugX و Shadowpad در حافظه و در ادامه اجرای آنها بهره‌جویی می‌کنند.

SentinelOne سوءاستفاده Moshen Dragon از محصولات امنیتی / ضدویروس زیر را تایید کرده است:

• BitDefender SSL Proxy Tool
• Kaspersky Anti-Virus Launcher
• McAfee Agent
• Symantec SNAC
• TrendMicro Platinum Watch Dog

در عین حال، SentinelOne خاطر نشان کرده اشکالی که مهاجمان را قادر به انجام این اقدام کرده بیشتر از آن که متوجه شرکت‌های سازنده این محصولات باشد از نبود سازوکار حفاظتی کافی در سیستم عامل Windows در برابر حملات DLL Search Order Hijacking ناشی می‌شود.

Trend Micro اولین شرکت ضدویروسی بود که نسبت به گزارش SentinelOne واکنش نشان داد. این شرکت 30 اردیبهشت با انتشار توصیه‌نامه از وصله شدن باگ مورداشاره SentinelOne در محصول خود خبر داد.

روز گذشته وب‌سایت Bleeping Computer ضمن پوشش عرضه اصلاحیه توسط Trend Micro اعلام کرد که علیرغم استعلام از چند شرکت دیگر سازنده ضدویروس که در گزارش SentinelOne از آنها نام برده شده هنوز پاسخی از طرف آنها دریافت نکرده است. این وب‌سایت، اندکی بعد با به‌روزرسانی مطلب قبلی از دریافت پاسخ از سوی Bitdefender مبنی بر آسیب‌پذیر نبودن آخرین نسخ محصولات این شرکت در برابر DLL Search Order Hijacking خبر داد.

تا زمان انتشار این مطلب در بلاگ رامونا پردازش نگار، سه شرکت ضدویروس دیگر واکنشی به استعلام Bleeping Computer نشان نداده‌اند.

مشروح گزارش SentinelOne در اینجا و خبر دیروز Bleeping Computer در اینجا قابل مطالعه است.