Ερευνητής εντόπισε σφάλματα στο λογισμικό ασφαλείας της Kaspersky Lab που χρησιμοποιείται σε ταμειακές μηχανές και άλλα συστήματα. Οι hackers μπορούν να εκμεταλλευτούν τα σφάλματα για να παρακάμψουν τις άμυνες συστημάτων ΑΤΜ.
Παρόλο που η Kaspersky ανταποκρίθηκε άμεσα στην ανακάλυψη, ανέπτυξε και κυκλοφόρησε ένα patch, αναρωτιέται κανείς πόσο καιρό θα χρειαστεί να εγκατασταθούν οι ενημερώσεις στον εξοπλισμό ATM που βρίσκεται σε όλο τον κόσμο.
Ο Georgy Zaytsev, ερευνητής της Positive Technologies, αποκάλυψε μια ευπάθεια στο στοιχείο ελέγχου εκκίνησης εφαρμογών του Kaspersky Embedded Systems Security 1.1 και 1.2 κατά τη διάρκεια ενός ελέγχου ασφάλειας ταμειακών μηχανών που χρησιμοποιούν την τεχνολογία.
Η εκμετάλλευση του σφάλματος προκαλεί την υπερφόρτωση του λογισμικού της Kaspersky σε σημείο που δεν μπορεί να επεξεργαστεί αιτήσεις επαλήθευσης αρχείων. Αυτό σημαίνει ότι κάθε κακόβουλο λογισμικό θα μπορούσε να παρακάμψει τους white list ελέγχους που υπάρχουν για να εμποδίσουν τις μολύνσεις.
“Τα τρωτά σημεία που μας έχουν αναφερθεί δεν επιτρέπουν άμεσα την απόσυρση μετρητών από το ATM. Θα χρειαστούν να συμπέσουν αρκετές προϋποθέσεις για να λειτουργήσει μια τέτοια επίθεση: για παράδειγμα, πριν εκμεταλλευτεί αυτές τις ευπάθειες, ένας εισβολέας Θα πρέπει πρώτα να μολύνει το σύστημα με κακόβουλο λογισμικό (παρακάμπτοντας όλα τα στοιχεία προστασίας) και να το τρέξει μέσα στο σύστημα”, δήλωσε ένας εκπρόσωπος της Kaspersky Lab.
Για να κρασάρει το antivirus, ένας εισβολέας θα πρέπει να προσθέσει ένα μεγάλο αριθμό αυθαίρετων δεδομένων με ένα εκτελέσιμο αρχείο. Όταν ξεκινήσει αυτό το πρόγραμμα, το σύστημα υπολογίζει το hash του και ελέγχει μια λίστα εγκεκριμένων ψηφιακών υπογραφών για να αποφασίσει αν θα επιτρέψει ή θα εμποδίσει την εκτέλεση της εφαρμογής. Με ένα τόσο μεγάλο αρχείο, η διαδικασία διαρκεί περισσότερο από τον χρόνο που έχει οριστεί για την επαλήθευση κανονικών αρχείων.
Όταν λήξει αυτό το χρονικό διάστημα, το πρόγραμμα ξεκινά ούτως ή άλλως. Είναι μια επίθεση της μιας φοράς, επειδή η διαδικασία κατακερματισμού (hash) δεν σταματάει και το σύστημα αποθηκεύει κρυφές υπογραφές. Επομένως, την επόμενη φορά που θα ξεκινήσει το εκτελέσιμο αρχείο, το λογισμικό της Kaspersky θα είναι σε θέση να αντιληφθεί αμέσως ότι το αρχείο είναι κακόβουλο και να το σταματήσει.
Αν στην υπηρεσία σας χρησιμοποιείτε προγράμματα Kaspersky στα ATMs, προσέξτε το κρίσιμο fix KB13520. Η αναβάθμιση κυκλοφόρησε ήσυχα στα τέλη Ιουνίου. Έτσι όλοι οι ιδιοκτήτες ΑΤΜ θα πρέπει να ενημερώσουν άμεσα το λογισμικό ασφαλείας τους.