En nylig offentliggjort sikkerhetsproblem i Malwarebytes Anti-Malware (gratis, premium og enterprise) gjør det mulig for angripere å kjøre en mann i midten angrep mot systemer som kjører programvaren.
Malwarebytes Anti-Malware er et populært second-opinion skanner, og premium-og enterprise-utgavene av programmet legge til beskyttelse i sanntid blant annet til det som bringe den mer i tråd med tradisjonell antivirus-løsninger.
Programmet er holdt i høy aktelse av mange for sin malware oppdagelse, og rengjøring evner.
Google forsker Tavis Ormandy varslet Malwarebytes i begynnelsen av November 2015 til flere sikkerhetsproblemer som han fant i Malwarebytes Anti-Malware.
Malwarebytes klarte å patch flere av disse sikkerhetsproblemene, server-side “i løpet av dager”, og er å teste en ny versjon av klient-programvare for internt som det planer om å slippe i de neste tre-fire uker at patch problemet på klient-siden også.
Ormandy oppdaget at programvaren henter signatur oppdateringer via http. Når dataene er kryptert, oppdaget han at det er enkelt nok for alle til å dekryptere det ved hjelp av OpenSSL-kommandoer.
MalwareBytes henter sin signatur oppdateringer via HTTP, tillater en mann i midten angrep. Protokollen innebærer laste ned YAML-filer over HTTP-for hver oppdatering fra http://data-cdn.mbamupdates.com. Selv om det YAML-filer som inkluderer en MD5 sjekksum, som er tilgjengelig via HTTP og ikke signert, kan en angriper kan bare erstatte det.
Angripere har ulike alternativer til disposisjon for å utnytte problemet.
Det er mange enkle måter å gjøre dette til kjøring av kode, for eksempel angi en mål-fil i nettverk konfigurasjon, å skrive en ny TXTREPLACE regel å endre konfigurasjonen filer, eller å endre en registernøkkel med en ERSTATTE regelen.
Malwarebytes bekreftet sårbarhet offentlig i et senere blogginnlegg avsløre at det er jobber med å løse problemet. Selskapet annonsert lanseringen av Malwarebytes Bug Bounty programmet tilbyr kontanter bug skuddpremier på opp til $1000 for rapporterte problemer i programmet.
Brukere som kjører premium-eller enterprise-versjonen av programmet kan beskytte det ved å aktivere innebygd self-beskytte-modulen:
- Høyre-klikk på Malwarebytes Anti-Malware-ikonet i systemstatusfeltet, og velg åpne alternativet fra det.
- Bytter du til Innstillinger > Avanserte Innstillinger.
- Merk av for “Aktiver selv-beskyttelse modulen” hvis det ikke er aktivert allerede.
Googles Prosjekt Null initiativ avdekket svakheter i produkter av sikkerhet bedrifter som AVG, Kaspersky, Sophos og TrendMicro i det siste.