En nyligen avslöjade sårbarhet i Malwarebytes Anti-Malware (free, premium och företag) gör det möjligt för angripare att köra man-i-mitten-attacker mot system som kör programvaran.
Malwarebytes Anti-Malware är ett populärt andra mening scanner, och den premie-och enterprise-utgåvorna av programmet lägg till i realtid skydd bland annat att det som för det mer i linje med traditionella antiviruslösningar.
Programmet är som hölls i högt av många för sin malware upptäckt och rengöring kapacitet.
Google forskare Tavis Ormandy larmade Malwarebytes i början av November 2015 till och med flera säkerhetsproblem som han hittat i Malwarebytes Anti-Malware.
Malwarebytes lyckats patch flera av dessa sårbarheter server-side “inom några dagar”, och testar en ny version av klienten programvara internt som man planerar att släppa under de kommande tre till fyra veckor att plåstret frågan på klientsidan.
Ormandy upptäckte att programvaran hämtar uppdateringar signatur över http. Medan data är krypterad, upptäckte han att det är tillräckligt enkelt för att vem som helst dekryptera det med hjälp av OpenSSL-kommandon.
MalwareBytes hämtar sin signatur uppdateringar via HTTP, som tillåter en man-i-mitten-attack. Protokollet innebär att nedladdning av YAML-filer via HTTP för varje uppdatering från http://data-cdn.mbamupdates.com. Även om det YAML-filer är en MD5-kontrollsumman, som är tillgänglig via HTTP och inte undertecknad, för en angripare kan helt enkelt byta ut det.
Angriparna har olika alternativ till sitt förfogande för att utnyttja den frågan.
Det finns många enkla sätt att vända detta till kod, som anger ett mål fil i nätverkskonfigurationen att skriva en ny TXTREPLACE regel för att ändra konfigurationen filer eller ändra en Registernyckel med en BYTA regel.
Malwarebytes bekräftat sårbarhet offentligt i ett senare blogginlägg avslöjar att man arbetar på en lösning. Bolaget meddelade lanseringen av Malwarebytes Bug Bounty programmet erbjuder kontanter bugg skottpengar på upp till $1000 för rapporterade problem i tillämpningen.
Användare som kör premium-eller enterprise-versionen av programmet kan du skydda den genom att aktivera den inbyggda self-protect-modul:
- Högerklicka på Malwarebytes Anti-Malware-ikonen i aktivitetsfältet och välj öppna alternativ från det.
- Byt till Inställningar > Avancerade Inställningar.
- Markera “Aktivera självförsvar modul” om det inte redan aktiverad.
Googles Project Zero initiativ avslöjat svagheter i produkter som av säkerhet-företag som AVG, Kaspersky, Sophos och TrendMicro i det förflutna.