W produktach Malwarebytes usunięto poważną lukę w zabezpieczeniach

Firma Malwarebytes zaktualizowała swoje oprogramowanie Malwarebytes Anti-Malware i Malwarebytes Anti-Exploit, co spowodowało usunięcie wielu poważnych luk w zabezpieczeniach. Dzięki nim osoba atakująca mogła użyć dowolnego kodu w systemie. Chodziło o celowe osadzenie swojego peiloada w plikach aktualizacji, które użytkownicy mogli pobrać i zainstalować.

Luka ta jest identyfikowana jako CVE-2014-4936. Umożliwiała wdrożenie do docelowej struktury DNS, która znajduje się pomiędzy komputerem użytkownika a źródłem dystrybucji treści (w tym przypadku (CDN) Malwarebytes). Również w raporcie zauważono, że znaleziona luka w zabezpieczeniach nie wpłynęła na użytkowników korporacyjnych, koncentrując się tylko na indywidualnych użytkownikach. Jeśli ci ludzie używali Anti-Malware i Anti-Exploit, to bezpieczeństwo ich systemu było wątpliwe.

Kluczowy problem kryje się znacznie głębiej, ponieważ w pakietach oprogramowania Malwarebytes brakuje niezawodnego narzędzia do sprawdzania (walidacji) aktualizacji oprogramowania. W rezultacie atakujący mógł stworzyć własną paload, wysyłając ją do użytkownika. Nie było potrzeby opracowywania bardziej skomplikowanego sposobu wykorzystania luki, ponieważ wszystkie inne działania zależały od użytkownika.

Luka została opublikowana na stronie Github, a także na osobistym blogu użytkownika pod pseudonimem 0x3a. w tej chwili utworzona łatka pozwala całkowicie wyeliminować możliwość użycia tego błędu oprogramowania. Malwarebytes planuje również poważne prace nad poprawą bezpieczeństwa swojej infrastruktury.