Hivatalosan is elismerte a Kaspersky Lab, hogy biztonsági rést találtak egyes alkalmazásaiban. Persze ez önmagában nem meglepő. A védelmi szoftvereket is emberek fejlesztik, és ha fokozottabban is figyelnek a biztonsági előírásokra, ők is tévedhetnek, hibázhatnak. Annyiban azonban különleges eljárást élveznek, hogy a vírusvédelmi cégek általában azonnal reagálnak, és javítják a hibát. Ez elemi érdekük, hiszen a felhasználók többsége sokszor vakon megbízik a védelmi alkalmazásokban. Pedig időnként vannak fennakadások, és nem sikerül a gyors javítás.

A Kasperskynek közel egy hónap kellett

A Google egyik biztonsági kutatója, Tavis Ormandy szeptemberben ilyen hibát talált. A sztorit a Biztonságportál foglalta össze.

Ormandy szeptember 11-én jelezte a Kaspersky Labnak, hogy olyan hibát talált az Anti-Virus és az Internet Security alkalmazásokban, ami támadásra ad lehetőséget. A javítás azonban csak október 6-ára készültek el. Akkor a szokásoknak megfelelően automatikusan fel is került az érintett rendszerekre. De akkor mi a gond?

A sebezhetőséget mindkét alkalmazásban az ún. Network Attack Blocker összetevő tartalmazta, amelynek az a feladata, hogy blokkolja a kártékony hálózati tevékenységeket: a szolgáltatásmegtagadási (DoS) támadások, a portszkennelések és egyes puffertúlcsordulási hibák kockázatát hivatott csökkenteni.

A blokkolás veszélyei

Ormandy a hibát a komponens TCP-kezelésében találta meg: a védelmi szoftvert meg lehetett téveszteni az ahhoz tartozó állapotfüggetlen csomagszűrön keresztül. A Network Attack Blocker minták, szignatúrák alapján ismeri fel a nemkívánatos hálózati aktivitást és az ártalmasnak ítélt IP-címeket. A biztonsági rés kihasználásával azonban el lehetett volna érni, hogy az összetevő legális oldalakat, szolgáltatásokat is blokkoljon.

De miért lesz ebből kritikus hiba? Elsősorban azért, mert így a támadók olyan szolgáltatásokat is térdre kényszeríthetnek, amelyek a védelem fenntartásához elengedhetetlenek. Az ilyen módon sebezhető gépekről elérhetetlenné tehetik például a Windows Update szolgáltatást vagy a biztonsági szoftverek frissítését végző kiszolgálókat – és akkor már a jelen hibát javító frissítés sem tud automatikusan települni.

A Kaspersky Lab mindenesetre hálálkodott is egy sort Ormandynak a hibajelentésért. A hivatalos álláspont egyébként az, hogy senki sem volt veszélyben, mert a sérülékenységet nem használták hackerek.