Уязвимости антивирусных продуктов

Тема в разделе "Защита от взлома", создана пользователем SNS-amigo, 31 июл 2014.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.903
    Хочешь победить врага, узнай чего он боится...

    Интересные результаты получены в ходе хакерской конференции Syscan 360 в Пекин. От сингапурской компании COSEINC, специализирующейся в области информационной безопасности выступил Джошин Корет (Joxean Koret). Он подготовил презентацию о взломе антивирусного программного обеспечения. Скачать PDF-оригинал.

    Главный тезис этой презентации в том, что устанавливая антивирусное ПО на свой компьютер, мы делаем систему еще более уязвимой, добавляя дополнительный вектор атаки. По представлению Корета, антивирус защищает от старых неактивных вирусов, но при этом открывает лазейки для новых вирусов, которые пользуются дырами в движках антивирусных программ.

    Автор объясняет, что по причинам производительности многие движки антивирусов написаны на небезопасных языках программирования, например, на C и/или C++, за исключением совсем немногих, таких как MalwareBytes на VB6. Потому там повсеместно можно эксплуатировать переполнения буфера, целочисленные переполнения, форматы строк и проч. Эти движки занимают привилегированное положение в ОС, устанавливают системные драйверы, поддерживают множество форматов файлов, включая уязвимые, работают с наивысшими привилегиями в системе и обновляются по HTTP. В общем, создается идеальный плацдарм для атаки.

    Специалист из Сингапура крайне скептично настроен по отношению к разработчикам антивирусного ПО, но он и не претендует на широкомасштабное исследование, т.к. всего лишь ради забавы в июле поискал уязвимости в разных антивирусных движках, и нашел многочисленные дыры в 14 из 17 проверенных движков, например, в Avast, Avg, Avira, BitDefender, BKAV, ClamAV, Comodo, DrWeb, eScan, ESET, F-Prot, F-Secure, Ikarus, Panda, Sophos и др. Найденные уязвимости допускают удалённое и локальное исполнение кода. Самое большое количество багов найдено в румынском BitDefender, чей движок охотно покупается другими компаниями для разработки собственных продуктов и расширения защиты уже имеющихся.

    Отличился в его изысканиях и Kaspersky AV, у которого ключевые модули avzkrnl.dll и vlns.kdl не используют защиту ASLR. «Любой может написать надёжный эксплойт для Антивируса Касперского без особого труда», — считает Корет.

    Среди уязвимых — DrWeb, который раньше обновлялся по HTTP без использования SSL/TLS, а рабочие файлы распространялись без цифровой подписи, только CRC32. Таким образом, любой мог подменить drweb32.dll, подобрав подходящий CRC32.

    Автор описал несколько векторов атаки на разные антивирусы для вывода их из защищённого режима (ASLR) и эксплуатации уязвимостей. Например, использование двух вложенных друг в друга файлов внутри архива. Первый заставляет антивирус запустить эмулятор, а второй файл — это эксплойт. Можно и провести атаку типа «отказ в обслуживании», потому что многие антивирусы до сих пор уязвимы к zip-бомбам (багу 10-лет в обед). Например, тот же «Касперский» при распаковке маленького 7z-архива создаёт временный файл на 32 ГБ...
     
    Последнее редактирование: 31 июл 2014
    fseto, Turok, Drongo и 5 другим нравится это.
  2. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.492
    Симпатии:
    4.309
    гг. Порадовал. Серъезные заявления.
    Это наверное потому, что эксплойты для VB6 лень писать. Язык старый. Никому оно не нужно.
    Программист воткнул одну директиву "Игнорировать все ошибки" и VB хрен рухнет.

    Скажу больше. Новый Касперский использует некоторые компоненты и на C#. А это фреймворк и непонятно + сколько еще дырок там можно найти.
    На счет ASLR (рандомное размещение в памяти PE и структур) это они конечно зря.
     
    Drongo, Kиpилл и SNS-amigo нравится это.
  3. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.853
    Симпатии:
    1.837
    Поднимали эту тему на форуме, исправили. Хотя 6.0 уже не актуальна. Но есть сертифицированные версии 5 и 6.
    Сертифицированные МО РФ продукты Dr.Web
    Сертификаты МО, в связи с тем, что они имеют статус документов ДСП, на сайте не размещаются. Заверенные копии этих сертификатов предоставляются по официальному запросу.
    Продукты Dr.Web версии 6
    Cертификаты действительны до 05.07.2018 г.
    • Антивирус Dr.Web® Enterprise Suite Special Edition
    • Антивирус Dr.Web® Pro для рабочих станций Windows
    • Антивирус Dr.Web® для рабочих станций Windows
    • Антивирус Dr.Web® для файловых серверов Windows
    [​IMG]PavelPV,29 апреля 2014 в 19:43#
    Выпущено обновление для версии 6.0 — добавлена проверка подписи файлов.
     
  4. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.492
    Симпатии:
    4.309
    Кажется теперь начинаю верить докладчику.
    Ужас. 2014 год на дворе. А у флагманских продуктов нет защиты от элементарной подмены файлов.
     
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.903
    А ведь пишут "Включить/выключить самозащиту".
    На деле она работает только как защита от взлома с целью сброса триала и неких изменений.
     
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    SNS-amigo, прежде чем делать такие громкие заявления вы пытались сами это сделать? Или хотя бы воссоздать условия при которых теоретически можно было бы произвести подобное хотя бы с тем же доктором Веб.
     
    Turok нравится это.
  7. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.492
    Симпатии:
    4.309
    Как минимум, из ядра включается защита от управления службой антивируса.
    Без этой опции службу можно отключить консольной командой.
     
  8. Voldemar2007-72
    Оффлайн

    Voldemar2007-72 Активный пользователь

    Сообщения:
    206
    Симпатии:
    356
    Где то попадалась статья про фаерволы, найти не могу:Dash1:,что сейчас и фаерволы бесполезны:Cray2:. Вот например разрешил браузеру в интернет,а к нему привязался вирус,и утекли пароли, так ли это?
     
  9. petr-ru
    Оффлайн

    petr-ru Пользователь

    Сообщения:
    62
    Симпатии:
    31
    Ну это немного не в тему - с уязвимостью фаерволов это никак не связано.
    Вся соль в слове "привязался" - вот как раз данный момент ав-комплекс (или фаервол) и стараются обнаруживать - всякие инжекты, отравления dns, внедрение аддонов и прочее.
     

Поделиться этой страницей