Главная Новости Форум Загрузки Видео Статьи Блог FAQ Отзывы Обратная связь Правила портала Карта портала
Купить рекламу на портале
Новые сообщения (0) Участники Поиск Правила RSS
  • Страница 1 из 1
  • 1
Модератор форума: StimuL  
В антивирусах много уязвимостей
StimuL Написал: Пятница, 01 Авг 2014, 16:38 | № 1
6854

На хакерской конференции Syscan 360 в Пекине представитель сингапурской компании в области информационной безопасности COSEINC Хошеан Корет (Joxean Koret) выступил с презентацией о взломе антивирусного программного обеспечения.

http://www.syscan360.org/slides....ret.pdf
Главный тезис презентации состоит в том, что устанавливая антивирусное ПО на свой компьютер, вы делаете его более уязвимым, добавляя дополнительный вектор атаки. Да, антивирус защищает от старых неактивных вирусов, но при этом открывает лазейки для новых вирусов, которые пользуются дырами в движках антивирусных программ.

Автор объясняет, что по причинам производительности движки AV написаны на небезопасных языках программирования. Почти все они написаны на C и/или C++, за исключением совсем немногих, таких как MalwareBytes на VB6. Соответственно, там повсеместно можно эксплуатировать переполнения буфера, целочисленные переполнения, форматы строк и проч. Эти движки занимают привилегированное положение в ОС, устанавливают системные драйверы, поддерживают множество форматов файлов, включая уязвимые, работают с наивысшими привилегиями в системе и обновляются по HTTP. В общем, идеальный плацдарм для атаки.

Хошеан ради забавы в течение июля искал уязвимости в разных антивирусных движках, и ему удалось найти многочисленные дыры в 14 из 17 проверенных движков, в том числе в Avast, Avg, Avira, BitDefender, ClamAV, Comodo, DrWeb, ESET, F-Prot, F-Secure, Panda, eScan и др. Уязвимости допускают удалённое и локальное исполнение кода. Особенно большое количество багов найдено в румынском BitDefender.



Отличился и Kaspersky AV, у которого ключевые модули avzkrnl.dll и vlns.kdl не используют защиту ASLR. «Любой может написать надёжный эксплойт для Антивируса Касперского без особого труда», — считает Корет.


Среди уязвимых — DrWeb, который раньше обновлялся по HTTP без использования SSL/TLS, а рабочие файлы распространялись без цифровой подписи, только CRC32. Таким образом, любой мог подменить drweb32.dll, подобрав подходящий CRC32. Возможно, сейчас эти баги уже закрыты.

Автор предлагает несколько векторов атаки на разные антивирусы для вывода их из защищённого режима (ASLR) и эксплуатации уязвимостей. Например, использование двух вложенных друг в друга файлов внутри архива. Первый заставляет антивирус запустить эмулятор, а второй файл — это эксплойт. Можно и провести атаку типа «отказ в обслуживании», потому что многие антивирусы до сих пор уязвимы к zip-бомбам (баг 10-летней давности). Например, тот же «Касперский» при распаковке маленького 7z-архива создаёт временный файл на 32 ГБ.

В общем, специалист из Сингапура крайне скептично настроен по отношению к разработчикам антивирусного ПО.


Слайд из презентации Хошеана Корета
Прикрепления: 1582543.jpg (12.3 Kb) · 6266354.jpg (151.3 Kb) · 9000317.jpg (102.8 Kb) · 5392305.jpg (149.5 Kb)


Основатель портала. Руководитель. Большой начальник. Мастер на все руки. IT-энтузиаст. Не ругайтесь на меня, если что. Все мы учимся и совершаем ошибки. И только совершая ошибки, мы учимся.
 
профиль сайт ICQ
  • Страница 1 из 1
  • 1
Поиск:

Статистика Форума
Последние обновления тем Горячие темы Новые пользователи
1. Скачать Windows 10 Insider Preview - сборка 18214[Wizard]
2. Скачать Windows 10 Insider Preview - сборка 18204[StimuL]
3. Скачать Windows 10 Insider Preview - сборка 17723[StimuL]
4. Скачать Windows 10 Insider Preview - сборка 17711[StimuL]
5. Скачать Windows 10 Insider Preview - сборка 17704[Wizard]
6. Статистика ОС и браузеров за июнь 2018 года[Wizard]
7. Скачать Windows 10 Insider Preview - сборка 17682[Wizard]
8. Скачать Windows 10 Insider Preview - сборка 17677[Wizard]
9. Обновления для Windows 10 обсуждение![StimuL]
10. Скачать Windows 10 Insider Preview - сборка 17672[M9snikFeed]
1. Обновления для Windows 10 обсуждение![51]
2. Новшества на нашем сайте[25]
3. Бесплатные промо акции со скидкой 100%[24]
4. Официальные прошивки для iPhone, iPod, iPad![15]
5. Новогоднее оформление Windows[8]
6. Скачать Technical Preview Windows 9[6]
7. Хотите поздороваться, Вам сюда!!![5]
8. Мини-Чат[5]
9. Анекдоты[5]
10. Компьютерные анекдоты и шутки[5]
11. Как убрать баннер windows заблокирован[4]
12. Подарки к Новому 2016 году Огненной Обезьяны[4]
1. andrey141991[27 Авг 2018|08:38]
2. RemCooks[21 Авг 2018|21:36]
3. sulim36[20 Авг 2018|23:31]
4. Victor[20 Авг 2018|12:12]
5. lujajele[08 Авг 2018|16:02]
6. Fiidan[07 Авг 2018|16:09]
7. shust[02 Авг 2018|18:00]
8. dimonchic-fey[31 Июл 2018|11:57]
9. den123263[30 Июл 2018|19:03]
10. kachuganin[29 Июл 2018|03:35]
11. kraewalex[27 Июл 2018|14:21]
12. APTEM_voin_boec[27 Июл 2018|13:55]