Beveiligingssoftware zelf vaak kwetsbaar voor aanvallen

Volgens een test van het onafhankelijke AV-test.org zijn er nog te weinig beveiligingspakketten die de technieken ondersteunen om zichzelf te beschermen tegen aanvallen.

Concreet gaat het om DEP (Data Execution Prevention) en ASLR (Address Space Layout Randomization). DEP zit al jaren ingebakken in chips van AMD en Intel en moet voorkomen dat programma’s willekeurige data gaan uitvoeren en dus kwaadaardige code kunnen opstarten. ASLR beschermt tegen verschillende exploits die gebruikmaken van zogenaamde bufferoverflows, door geheugensectoren willekeurig door elkaar te schudden.

[related_article id=”161920″]

De twee technieken zorgen ervoor dat de fouten die onvermijdelijk in software zitten minder gemakkelijk uitgebuit kunnen worden om er kwaadaardige aanvallen mee op te zetten. Het uitbuiten van de antimalware gebeurt nog niet echt op grote schaal, maar zou een goede techniek kunnen zijn om een aanval te lanceren.

Van de consumentenproducten die AV-test controleerde, scoorde alleen Eset Smart Security 8 de volle 100 procent van executables voor zowel DEP als ASLR. Avira Antivirus en Norton Security behaalden 99 procent. Nog acht producten scoorden boven 90 procent.

Bij de zakelijke producten haalde enkel Symantec Endpoint Protection 100 procent. G Data Antivirus Business volgde op korte afstand. Veel andere suites scoorden ondermaats. Trend Micro’s Officescan haalde 18,7 procent en eScan’s IS slechts 17,5 procent.

Inspanningen vermijden
AV-Test merkt op dat er al technieken bestaan die ook zowel DEP als ASLR om de tuin kunnen leiden, maar die vereisen wel een behoorlijke inspanning van de programmeur van de malware. Inspanning die vaak liever vermeden wordt.

De site liet ook de producenten van de antimalwaresoftware zelf op de resultaten reageren. Sommige bedrijven zeggen dat ze DEP en ASLR zullen implementeren op toekomstige versies van hun producten, andere bedrijven stellen dat ze technieken gebruiken die niet met DEP of ASLR compatibel zijn.