Pesquisa da NSS Labs revela que softwares são incapazes de bloquear ataques malware contra duas recentes e graves falhas da Microsoft; Apenas 4 das 13 suites testadas foram aprovadas no teste.

Muitas suites de antivírus são incapazes de efetivamente bloquear ataques de malware contra duas vulnerabilidades recentes e graves da Microsoft, apesar do fato de que exploits têm circulado desde junho, como mostra um teste realizado pela NSS Labs.

A empresa analisou a capacidade de 13 suites de antivírus para defender sistemas desatualizados contra ataques que exploram vulnerabilidades no XML Core Services (CVE-2012-1889) e no Internet Explorer 8.0 (CVE-2012-1875), ambos os resultados vieram a público em junho.

Apesar do fato de que os dois softwares foram corrigidos em junho e julho e deveriam estar no radar das empresas de antivírus, apenas quatro produtos - da Trend Micro, Kaspersky Lab, McAfee e Avast - foram capazes de oferecer proteção completa contra o teste de exploração que o NSS Labs criou para usar contra as vulnerabilidades.

O restante dos softwares era capaz de oferecer um grau de proteção que dependia de como os ataques eram executados e que vulnerabilidade estava sendo testada.

Alguns produtos lutaram quando os ataques foram entregues em HTTP, enquanto outros vários foram incapazes de lidar com ataques quando executados via HTTPS - como em casos como quando se usa serviços como o Gmail. Ironicamente, estes incluíram apenas o próprio Security Essentials da Microsoft.

Além desempenho medíocre em geral de alguns produtos, parece haver duas questões levantadas pelos resultados apresentados pela NSS Labs.

Primeiro, os usuários não deveriam presumir que os antivírus oferecem uma proteção sólida para sistemas desatualizados. Se uma vulnerabilidade é do domínio público e nenhum patch está disponível (ou está disponível, mas não foi aplicado), então o sistema está vulnerável a ataques, independente do que o software está defendendo.

Em segundo lugar, os criadores de malware provavelmente prestam atenção em pontos fortes e fracos dos antivírus, do mesmo modo que testadores fazem, especialmente com produtos individuais. Se um programa tem um tipo particular de fraqueza, mesmo que em curto prazo, ela será notada.

"As combinações de sucessos e fracassos são dramáticas e necessitam de mais pesquisas. Mas está claro que muitos dos produtos não estão bloqueando exploits", concluem os pesquisadores.

Empresas de antivírus, sem dúvida, salientam que os ataques foram criados em laboratório, que as vulnerabilidades escolhidas foram bastante recentes, e que apenas duas foram observadas. Fazer julgamentos com base em testes restritos - como o que foi realizado - só poderia apontar um resultado.

Olhando pelo lado positivo, os analistas descobriram que os antivírus são bons em detectar técnicas de evasão comuns - como Base 64, Unicode, e JavaScript. O lado menos otimista, no entanto, mostra que os softwares da Microsoft e CA (Computer Associates) poderiam ser desabilitados por um ataque utilizando o comando 'kill', disse a NSS Labs.

Os resultados completos da análise podem ser obtidos no site da NSS Labs (é necessário registro prévio).

Fonte: IDG Now