An analysis of the code emulator feature it uses in the products της ESET (εξομοιωτής κώδικα) έδειξε ότι δεν ήταν αρκετά ισχυρό και ότι μπορεί να παραβιαστεί εύκολα, επιτρέποντας σε έναν εισβολέα να πάρει τον πλήρη έλεγχο ενός συστήματος που τρέχει την ευάλωτη λύση ασφαλείας.
The code emulator is integrated into the company's antivirus products and allows to run files or scipts before the user does it. This process occurs in a secluded environment and so the actual system can not be affected.
Data collected is provided to the heuristic software analyst, who decides whether their nature is malicious or suspect.
Researcher Tavis Ormandy from Google Project Zero ανακάλυψε την ευπάθεια στο NOD32 Antivirus, αλλά όπως αναφέρει επηρεάζονται και άλλα προϊόντα, σε όλες τις εκδόσεις (Windows, OS X και Linux), καθώς και οι εκδόσεις Endpoint και Business.
"Many antivirus products have emulation capabilities. ESET NOD32 uses a microfilter or kext (the name comes from the kernel extension or kernel extension) to monitor Disk I / O. Says Ormandy.
Because Disk I / O features can be caused in a variety of ways, malicious code can messages, αρχεία, εικόνες ή άλλο είδος δεδομένων. Εξ ου και η ανάγκη ενός ισχυρού και κατάλληλα απομονωμένου εξομοιωτή κώδικα σε λύσεις antivirus.
Ormandy found the glitch, analyzed it and created a remote root exploit in a few days, indicating that it can obtain full access to the victim's system.
But let's say that Ormandy declared vulnerability to ESET at 18 in June, and the company immediately released an update for the scan engine (just 4 days later).
You can find more technical details on vulnerability, along with exploit on announcement page of the security vacuum.
See Poc
https://www.youtube.com/watch?v=Sk-CuFMXods
