E' sempre più oggetto di discussione il recente test condotto da 'Matousec' durante il quale è stato dimostrato un attacco, relativamente nuovo, in grado di mettere al tappeto tutti i principali software di sicurezza, commerciali e non.L'attacco sfrutta il fatto che molti software antivirus 'si agganciano' alla cosiddetta SSDT (System Service Descriptor Table) del kernel per monitorare il comportamento delle applicazioni.
Se l'utente invoca una particolare funzione di sistema (ad esempio, per caricare un driver), il software antivirus effettua un controllo teso a verificare 'la bontà' della chiamata escludendo intenti 'maligni'. Secondo quanto riportato da 'Matousec', un aggressore può interfacciarsi con la SSDT trasmettendo parametri i cui valori riescono a superare i controlli svolti dai software di sicurezza installati sul sistema. Il contenuto dei vari parametri viene poi scambiato con i dati necessari per provocare il caricamento di un driver maligno od invocare una funzione diversamente il cui utilizzo sarebbe stato vietato.
read full article
