Een onlangs vrijgegeven kwetsbaarheid in Malwarebytes Anti-Malware (gratis, premium en enterprise) biedt aanvallers de mogelijkheid tot het uitvoeren man in the middle-aanvallen op systemen waarop de software.
Malwarebytes Anti-Malware is een populaire second-opinion scanner, en de premie-en enterprise-edities van het programma toevoegen real-time protection onder andere dingen die meer in overeenstemming met de traditionele antivirus-oplossingen.
Het programma wordt gehouden in hoog aanzien bij velen voor de detectie van malware en het schoonmaken van de mogelijkheden.
Google-onderzoeker Tavis Ormandy gewaarschuwd Malwarebytes in het begin van November 2015 om de verschillende kwetsbaarheden in de beveiliging die hij vond in Malwarebytes Anti-Malware.
Malwarebytes geslaagd om de patch een aantal van deze kwetsbaarheden server-side “binnen enkele dagen”, en is het testen van een nieuwe versie van de client software zelf die het voornemen om in de komende drie tot vier weken dat de patch het probleem op de client.
Ormandy ontdekt dat de software haalt signature updates over http. Terwijl de gegevens versleuteld, ontdekte hij dat het eenvoudig genoeg voor iedereen om te decoderen met behulp van OpenSSL opdrachten.
MalwareBytes haalt hun handtekening updates over HTTP, waardoor het voor een man in the middle ‘ – aanval. Het protocol omvat het downloaden van YAML bestanden over HTTP-voor elke update van http://data-cdn.mbamupdates.com. Hoewel de YAML-bestanden zijn onder andere een MD5 checksum, als het via HTTP en niet is ondertekend, kan een aanvaller die eenvoudig te vervangen.
Aanvallers hebben verschillende opties tot hun beschikking hebben om het probleem te exploiteren.
Er zijn tal van eenvoudige manieren om dit om te zetten in code-uitvoering, zoals het opgeven van een doelbestand in de netwerkconfiguratie, is het schrijven van een nieuwe TXTREPLACE regel wijzigen van configuratie bestanden, of het wijzigen van een registersleutel met een VERVANG regel.
Malwarebytes bevestigd dat de kwetsbaarheid openbaar in een recente blog post waaruit blijkt dat het werkt aan een fix. Het bedrijf kondigde de lancering van de Malwarebytes Bug Bounty ‘ programma aanbieden van geld bug bounties van $1000 voor gemelde problemen in de toepassing.
Gebruikers van de premium-of enterprise-versie van de toepassing kan beschermen door het inschakelen van de ingebouwde zelf-bescherming van de module:
- Rechts-klik op de Malwarebytes Anti-Malware-pictogram in het systeemvak en selecteer de optie openen.
- Overschakelen naar Instellingen > Geavanceerde Instellingen.
- Vink “Enable self-protection-module” als het niet al ingeschakeld.
Google ‘ s Project Zero initiatief kwetsbaarheden in producten door beveiligingsbedrijven zoals AVG, Kaspersky, Sophos en TrendMicro in het verleden.