2min

Joxean Koret is een van de beveiligingsonderzoekers van Coseinc, hij stelt dat een virusscanner niet altijd een computer veiliger maakt, maar in sommige gevallen juist kwetsbaarder. Een virusscanner werkt namelijk op de computer met volledige rechten en kan overal bij, een lek in de software van de virusscanner kan dan grote gevolgen hebben.

Koret laat tijdens zijn presentatie op de SyScan 360 Conferentie weten dat veel virusscanners alles behalve veilig zijn. Hij stelt dat steeds vaker de virusscanner het slachtoffer is van een zero-day aanval, een lek dat nog niet bekend is, waarbij de virusscanner wordt misbruikt om het systeem over te nemen.

De reden dat virusscanners kwetsbaar zijn heeft verschillende oorzaken aldus Koret, om te beginnen zijn de programmeertalen waarin de virusscanners zijn geschreven gevoelig voor verschillende type aanvallen. De meeste virusscanners zijn geschreven in C of C++, deze talen zijn bijvoorbeeld gevoelig voor buffer overflows en integer overflows. Daarnaast ondersteunen veel virusscanners zoveel bestandsformaten dat ook daar makkelijk iets mis kan gaan. Zo zijn er in het verleden virusscanners geweest die te kampen hadden met lekken in de software bij het scannen van archiefbestanden zoals ZIP en RAR.

Virusscanners hebben om het systeem goed te beveiligen volledige rechten (root) nodig. Een virusscanner moet uiteindelijk alle processen en bestanden in de gaten houden. Als een virusscanner zelf gevoelig is door een lek in de software kan daardoor het hele systeem worden overgenomen. Om zijn woorden kracht bij te zetten onderzocht Koret een groot aantal virusscanners en vond lekken in de software van Avast, AVG, Bitdefender, ESET, F-Secure en Panda. Een aantal van die lekken zijn inmiddels gedicht maar een aantal ook nog niet. Hij toont daarmee aan dat een virusscanner net zo kwetsbaar is als elke andere applicatie op een computer.

Virusscanners moeten dan ook niet blind worden vertrouwd aldus Koret, hij geeft aan dat grote bedrijven er goed aan doen een derde partij een audit te laten uitvoeren op een virusscanner voordat het over het hele netwerk wordt uitgerold.