Malwarebytes Anti-Malware - Pakiet posiada luki bezpieczeństwa

Google Project Zero to specjalny zespół powołany do wyszukiwania dziur i błędów związanych z bezpieczeństwem w oprogramowaniu. Grupa ta zasłynęła już odkryciami poważnych uchybień w m.in. systemie Windows oraz OS X. Jeden z jej członków od dłuższego już czasu analizuje oprogramowanie zabezpieczające i zwraca uwagę na istniejące w nim luki. Wczoraj informowaliśmy, że odkrył niebezpieczeństwa związane z używaniem „bezpiecznej” przeglądarki dostarczanej przez Comodo, dziś pojawiły się informacje o kolejnym ważnym odkryciu – tym razem dotyczą one popularnego pakietu Malwarebytes Anti-Malware do wspomagania zestawów antywirusowych. Pakiet jest narażony na ataki umożliwiające np. fałszowanie danych i przejmowanie danych użytkownika. Producent przeprosił już za zaistniałą sytuacją i pracuje nad poprawką.

Tavis Ormandy po raz kolejny pokazuje, że oprogramowanie zabezpieczające samo w sobie jest dziurawe i nie do końca bezpieczne.

Odkrywcą luk po raz kolejny okazał się Tavis Ormandy. Wykrył on dziury w Malwarebytes Anti-Malware jeszcze w listopadzie ubiegłego roku, po upłynięciu 90 dni od zawiadomienia producenta zdecydował się na ich upublicznienie. Jak się okazuje, popularny MBAM dokonuje aktualizacji swoich sygnatur za pośrednictwem protokołu HTTP – ruch nie jest więc szyfrowany, a napastnik może go podejrzeć. Program pobiera pliki YAML, które nie są podpisywane cyfrowo. Atakujący może wiec je w razie potrzeby podmienić, a program tego naruszenia nie zarejestruje. Przyjmie on zmodyfikowane sygnatury jako zaufane pochodzące od producenta.

W tej sytuacji możliwe jest więc np. wykorzystanie MBAM jako aplikacji, która doprowadzi do uszkodzenia systemu, może też wykonywać dowolny kod podesłany przez atakujacego. Kolejny problem dotyczy lokalnego przechowywania ustawień i sygnatur – Malwarebytes nie korzysta z list kontroli dostępu (ACL) systemu plików NTFS, przez co dostęp do nich ma dowolny użytkownik i proces działający na komputerze. Można je więc zmodyfikować, czyniąc aplikację bezużyteczną. Producent przeprosił za zaistniałą sytuację i powiadomił, że w przeciągu 3-4 tygodni zostanie opublikowana nowa wersja programu (oznaczona numerem 2.2.1), która naprawi wszystkie odkryte przez Tavisa błędy. Co prawda ryzyko ataku na pojedynczy komputer jest niewielkie, ale producent oprogramowania ochronnego nie może sobie pozwolić na jego istnienie.

Posiadacze wersji Premium mogą zwiększyć poziom ochrony, pozostali użytkownicy muszą czekać na pojawienie się nowej wersji.

Posiadacze Malwarebytes Anti-Malware w wersji Premium powinni obecnie uruchomić w aplikacji moduł samoobrony, który stanowi dodatkowe utrudnienie. Firma wystartowała także ze specjalnym programem Malwarebytes Bug Bounty – podobnie jak niektóre inne firmy, ma zamiar wynagradzać odkrywców luk w oprogramowaniu. Nagrody będą wynosiły od 100 do maksymalnie 1000 dolarów, w zależności od skali problemu i możliwości jego wykorzystania w praktyce. Wiadomość o istnieniu luk nie jest niczym dobrym, niemniej cieszy, że firma postanowiła zmienić swoje podejście do ich łatania.