Уязвимости антивирусных продуктов

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
6,996
Баллы
803
Хочешь победить врага, узнай чего он боится...

Интересные результаты получены в ходе хакерской конференции Syscan 360 в Пекин. От сингапурской компании COSEINC, специализирующейся в области информационной безопасности выступил Джошин Корет (Joxean Koret). Он подготовил презентацию о взломе антивирусного программного обеспечения. Скачать PDF-оригинал.

Главный тезис этой презентации в том, что устанавливая антивирусное ПО на свой компьютер, мы делаем систему еще более уязвимой, добавляя дополнительный вектор атаки. По представлению Корета, антивирус защищает от старых неактивных вирусов, но при этом открывает лазейки для новых вирусов, которые пользуются дырами в движках антивирусных программ.

Автор объясняет, что по причинам производительности многие движки антивирусов написаны на небезопасных языках программирования, например, на C и/или C++, за исключением совсем немногих, таких как MalwareBytes на VB6. Потому там повсеместно можно эксплуатировать переполнения буфера, целочисленные переполнения, форматы строк и проч. Эти движки занимают привилегированное положение в ОС, устанавливают системные драйверы, поддерживают множество форматов файлов, включая уязвимые, работают с наивысшими привилегиями в системе и обновляются по HTTP. В общем, создается идеальный плацдарм для атаки.

Специалист из Сингапура крайне скептично настроен по отношению к разработчикам антивирусного ПО, но он и не претендует на широкомасштабное исследование, т.к. всего лишь ради забавы в июле поискал уязвимости в разных антивирусных движках, и нашел многочисленные дыры в 14 из 17 проверенных движков, например, в Avast, Avg, Avira, BitDefender, BKAV, ClamAV, Comodo, DrWeb, eScan, ESET, F-Prot, F-Secure, Ikarus, Panda, Sophos и др. Найденные уязвимости допускают удалённое и локальное исполнение кода. Самое большое количество багов найдено в румынском BitDefender, чей движок охотно покупается другими компаниями для разработки собственных продуктов и расширения защиты уже имеющихся.

Отличился в его изысканиях и Kaspersky AV, у которого ключевые модули avzkrnl.dll и vlns.kdl не используют защиту ASLR. «Любой может написать надёжный эксплойт для Антивируса Касперского без особого труда», — считает Корет.

Среди уязвимых — DrWeb, который раньше обновлялся по HTTP без использования SSL/TLS, а рабочие файлы распространялись без цифровой подписи, только CRC32. Таким образом, любой мог подменить drweb32.dll, подобрав подходящий CRC32.

Автор описал несколько векторов атаки на разные антивирусы для вывода их из защищённого режима (ASLR) и эксплуатации уязвимостей. Например, использование двух вложенных друг в друга файлов внутри архива. Первый заставляет антивирус запустить эмулятор, а второй файл — это эксплойт. Можно и провести атаку типа «отказ в обслуживании», потому что многие антивирусы до сих пор уязвимы к zip-бомбам (багу 10-лет в обед). Например, тот же «Касперский» при распаковке маленького 7z-архива создаёт временный файл на 32 ГБ...
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,320
Реакции
5,788
Баллы
718
многие движки антивирусов написаны на небезопасных языках программирования, например, на C и/или C++, за исключением совсем немногих, таких как MalwareBytes на VB6.
гг. Порадовал. Серъезные заявления.
Это наверное потому, что эксплойты для VB6 лень писать. Язык старый. Никому оно не нужно.
Программист воткнул одну директиву "Игнорировать все ошибки" и VB хрен рухнет.

Скажу больше. Новый Касперский использует некоторые компоненты и на C#. А это фреймворк и непонятно + сколько еще дырок там можно найти.
На счет ASLR (рандомное размещение в памяти PE и структур) это они конечно зря.
 

Phoenix

Ветеран
Сообщения
2,108
Реакции
1,835
Баллы
503
Поднимали эту тему на форуме, исправили. Хотя 6.0 уже не актуальна. Но есть сертифицированные версии 5 и 6.
Сертифицированные МО РФ продукты Dr.Web
Сертификаты МО, в связи с тем, что они имеют статус документов ДСП, на сайте не размещаются. Заверенные копии этих сертификатов предоставляются по официальному запросу.
Продукты Dr.Web версии 6
Cертификаты действительны до 05.07.2018 г.
  • Антивирус Dr.Web® Enterprise Suite Special Edition
  • Антивирус Dr.Web® Pro для рабочих станций Windows
  • Антивирус Dr.Web® для рабочих станций Windows
  • Антивирус Dr.Web® для файловых серверов Windows
PavelPV,29 апреля 2014 в 19:43#
Выпущено обновление для версии 6.0 — добавлена проверка подписи файлов.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,320
Реакции
5,788
Баллы
718
Кажется теперь начинаю верить докладчику.
Ужас. 2014 год на дворе. А у флагманских продуктов нет защиты от элементарной подмены файлов.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
6,996
Баллы
803
А у флагманских продуктов нет защиты от элементарной подмены файлов.
А ведь пишут "Включить/выключить самозащиту".
На деле она работает только как защита от взлома с целью сброса триала и неких изменений.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,613
Реакции
5,872
Баллы
1,008
А ведь пишут "Включить/выключить самозащиту".
На деле она работает только как защита от взлома с целью сброса триала и неких изменений.
SNS-amigo, прежде чем делать такие громкие заявления вы пытались сами это сделать? Или хотя бы воссоздать условия при которых теоретически можно было бы произвести подобное хотя бы с тем же доктором Веб.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,320
Реакции
5,788
Баллы
718
А ведь пишут "Включить/выключить самозащиту".
Как минимум, из ядра включается защита от управления службой антивируса.
Без этой опции службу можно отключить консольной командой.
 

Voldemar2007-72

Активный пользователь
Сообщения
206
Реакции
312
Баллы
453
Где то попадалась статья про фаерволы, найти не могу:Dash1:,что сейчас и фаерволы бесполезны:Cray2:. Вот например разрешил браузеру в интернет,а к нему привязался вирус,и утекли пароли, так ли это?
 

petr-ru

Активный пользователь
Сообщения
62
Реакции
27
Баллы
188
Ну это немного не в тему - с уязвимостью фаерволов это никак не связано.
Вся соль в слове "привязался" - вот как раз данный момент ав-комплекс (или фаервол) и стараются обнаруживать - всякие инжекты, отравления dns, внедрение аддонов и прочее.
 
Сверху Снизу