Image default
Security

Falha permite que ameaças ‘bypassem’ detecção da FireEye

A FireEye, empresa do ramo de segurança de redes, corrigiu uma falha em seu software que permitia a malwares fazerem parte de uma lista autorizada (whitelist) por uma período de até 24 horas.

A empresa alemã Blue Frost Security descobriu o problema no ano passado e trabalhou com a FireEye para garantir que a ameaça fosse neutralizada.

A vulnerabilidade afetava o sistema operacional FireEye (FEOS), que vem instalado em seus equipamentos de segurança de rede.

Mais precisamente, a vulnerabilidade afetava o motor de execução virtual do sistema operacional (VXE), que é uma máquina virtual baseada no Windows, executada dentro do FEOS e é utilizada para analisar arquivos suspeitos que passam pelo sistema operacional.

O FEOS faz isso primeiramente ao copiar o arquivo para a máquia virtual VXE sob o nome de “malware.exe”, para em seguida, renomeá-lo para seu nome original através de um script.

A falha na operação de cópia do arquivo foi a causa do problema

Moritz Jodeit da Blue Frost Security descobriu que esse problema não foi devidamente tratado e que um invasor poderia alterar o nome do arquivo original, utilizando variáveis de ambiente do Windows dentro do caminho (path).

Essas variáveis seriam resolvidas pela máquina virtual, e não pelo sistema operacional original onde foram compiladas, resultando em um arquivo que não seria copiado para o local correto na máquina virtual.

Uma vez que o arquivo não estivesse em seu devido local, o VXE não seria capaz executá-lo para analisar o seu comportamento. Devido a isso, o FEOS não detectaria qualquer atividade suspeita ou maliciosa dentro do VXE, e moveria o hash MD5 do arquivo para uma lista autorizada durante 24 horas.

Um patch está disponível desde outubro, mas muitos clientes da FireEye ainda não aplicaram

Esta lacuna abriu uma brecha para atacantes enviarem um arquivo malicioso com o mesmo hash MD5 para clientes protegidos pelos produtos da FireEye. Com o hash MD5 do arquivo malicioso sendo idêntico ao do arquivo previamente analisado, o software de segurança da FireEye pensaria que fosse benigno.

A Blue Frost Security informou a FireEye sobre o problema em meados de setembro, e um mês depois, a FireEye lançou patches para corrigir as versões de todos os produtos afetados. A vulnerabilidade foi divulgada somente agora, a pedido da FireEye, pois a maioria de seus clientes ainda não atualizaram as versões vulneráveis.

Produtos FireEye afetados

  • FireEye File Content Security – FX (7.5.1)
  • FireEye Malware Analysis – AX (7.7.0)
  • FireEye Network Security – NX (7.6.1)
  • e FireEye Email Security – EX (7.6.2).

 Fonte: Softpedia

Fonte imagem:
http://i1-news.softpedia-static.com/images/news2/fireeye-detection-engine-was-whitelisting-malware-500575-2.png

Posts similares

Facebook e Twitter sofrem violação de dados por SDK malicioso

O Analista

Banco sem firewall permite que $ 80 milhões sejam roubados

O Analista

Google é acusado de espionar estudantes pelo Chromebook

O Analista

Este site usa cookies para melhorar sua experiência de navegação. Vamos supor que você está bem quanto a isso, mas você pode optar por sair, se desejar. Aceitar Ler Mais