Un nuovo metodo, sviluppato dai ricercatori di sicurezza di matousec.com, mette fuori gioco le difese di dozzine di prodotti antivirus come McAfee, Trend Micro, AVG e BitDefender. Secondo i ricercatori, riporta The Register, è possibile superare i programmi antivirus sfruttando il driver che li lega profondamente al sistema operativo. Il metodo funziona inviando all'antivirus un sample di codice benigno che supera i controlli di sicurezza. In seguito, in una finestra ridotta di tempo, questo codice viene rimpiazzato con uno di tipo maligno in grado di funzionare senza destare sospetti.
Nell'attacco, come detto, ha un peso la tempistica. Nei sistemi multi-core, dato che spesso uno dei thread è incapace di tenere traccia degli altri thread che funzionano simultaneamente, il metodo dovrebbe essere efficace.
Tutto questo sistema richiede che il software antivirus usi SSDT (System Service Descriptor Table), collegato per modificare parti di kernel OS. Durante i test i software vulnerabili sono stati 34, ma probabilmente solo perché le prove non hanno coinvolto più prodotti. Gli antivirus "aggirabili", insomma, potrebbero essere di più. La tecnica funziona anche quando si usa Windows con un account con privilegi limitati.
L'exploit, tuttavia, ha dei limiti: bisogna caricare sul sistema che si vuole colpire un grande quantitativo di codice. Questa situazione rende impraticabile attacchi shellcode o che devono essere veloci e furtivi. Inoltre, può essere eseguito solo quando un attacker è già in grado di far funzionare codice binario sul PC - obiettivo.
I ricercatori affermano che questa tecnica potrebbe essere combinata con un exploit di un altro software, una versione vulnerabile di Adobe Reader o Java Virtual Machine di Oracle, per installare malware senza destare il sospetto degli antivirus. Come prova è stato realizzato un motore per lo sviluppo di exploit chiamato KHOBE, o Kernel HOok Bypassing Engine, che i ricercatori hanno usato per il loro test interno.