Domů
> Bezpečnost

Aktualizováno: Buďte nanejvýš obezřetní: takto hackeři dokáží obejít vaši antivirovou ochranu. Jaká rizika hrozí?

Jiří Palyza 03.12.2024
info ikonka
Zdroj: Midjourney (vygenerováno pomocí umělé inteligence)

Aktualizace článku z 1. 12. 2024: Bezpečnostní experti varují před slabinami oblíbeného antivirového programu. Hackeři je dokáží zneužít a zamýšlený útok bez problémů realizovat. Před čím byste se měli mít na pozoru? Mezitím se nám k celé věci vyjádřila společnost Avast. Reakci přidáváme na konec článku.

Kapitoly článku

Hackeři zneužívají zranitelnost v ovladači Avast k deaktivaci antiviru a maskování malwaru

Podle nejnovějších poznatků hackeři zneužívají zranitelnost v ovladači antivirového řešení od Avastu. Úspěšně maskovali malware a deaktivovali antivirové produkty. Na nejnovější problémy upozornila bezpečnostní firma Trellix.

Její výzkumníci zjistili novou kampaň, při které škodlivý software využívá legitimní ovladač Avast Anti-Rootkit k přístupu na úrovni jádra. Po deaktivaci antiviru může malware pokračovat v činnosti bez detekce.

Zranitelný ovladač byl zneužit při řadě útoků už od roku 2021, přičemž původní zranitelnosti byly přítomny přinejmenším od roku 2016. To tvrdí výzkum společnosti Trellix a upozorňuje, že malware může zranitelný ovladač využít k ukončení procesů bezpečnostního softwaru na úrovni jádra.

Dotčený malware patří do skupiny AV Killer a k infekci systému zneužívá vektor útoku, známý jako BYOVD (bring-your-own-vulnerable-driver).

Mohlo by vás zajímat

Detaily hackerských útoků: které bezpečnostní produkty jsou jimi dotčeny?

Malware dokáže pomocí připraveného souboru umístit zranitelný ovladač do výchozí uživatelské složky Windows a pomocí jiného spustitelného souboru ovladač zaregistruje.

Součástí škodlivého softwaru je pevně zakódovaný seznam 142 procesů, spouštěných běžnými bezpečnostními produkty. Zpravidla se používají ke kontrole snímků systémových procesů, zda se shodují.

Malware pak pomocí aplikačního rozhraní spustí příslušné příkazy k ukončení procesu, čímž zabrání antivirovému programu v detekci malwaru.

Pevně zadaný seznam obsahuje procesy patřící k řadě bezpečnostních produktů. Jsou mezi nimi například McAfee, Avast, Microsoft Defender, BlackBerry, Sophos, ale i mnoho dalších.

Mezitím jsme získali reakci od společnosti Avast

Podle vyjádření zástupců společnosti Avast byla zmíněná zranitelnost v produktech Avast a AVG opravena již před třemi lety. A dále citujeme z vyjádření: "Zmíněná zranitelnost byla ve staré verzi našeho ovladače Avast Anti-Rootkit aswArPot.sys, kterou jsme opravili v rámci aktualizace Avastu 21. 5., vydané v červnu 2021."

A dále: "V té době jsme také úzce spolupracovali s Microsoftem na vytvoření blokace v operačním systému Windows (10 a 11), takže starou verzi ovladače Avastu už nelze načíst do paměti. Všechny spotřebitelské i firemní verze produktů Avastu a AVG blokují veškeré zranitelné verze tohoto ovladače, takže naši zákazníci jsou před tímto typem útoku v bezpečí."

Zdroj: TechRadar

Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit

Všechny nejnovější zprávy

doporučujeme