Обзор Уязвимости антивирусных продуктов

[SNS-amigo]

Хочешь победить врага, узнай чего он боится...​

Интересные результаты получены в ходе хакерской конференции Syscan 360 в Пекин. От сингапурской компании COSEINC, специализирующейся в области информационной безопасности выступил Джошин Корет (Joxean Koret). Он подготовил презентацию о взломе антивирусного программного обеспечения. Скачать PDF-оригинал.

Главный тезис этой презентации в том, что устанавливая антивирусное ПО на свой компьютер, мы делаем систему еще более уязвимой, добавляя дополнительный вектор атаки. По представлению Корета, антивирус защищает от старых неактивных вирусов, но при этом открывает лазейки для новых вирусов, которые пользуются дырами в движках антивирусных программ.

Автор объясняет, что по причинам производительности многие движки антивирусов написаны на небезопасных языках программирования, например, на C и/или C++, за исключением совсем немногих, таких как MalwareBytes на VB6. Потому там повсеместно можно эксплуатировать переполнения буфера, целочисленные переполнения, форматы строк и проч. Эти движки занимают привилегированное положение в ОС, устанавливают системные драйверы, поддерживают множество форматов файлов, включая уязвимые, работают с наивысшими привилегиями в системе и обновляются по HTTP. В общем, создается идеальный плацдарм для атаки.

Специалист из Сингапура крайне скептично настроен по отношению к разработчикам антивирусного ПО, но он и не претендует на широкомасштабное исследование, т.к. всего лишь ради забавы в июле поискал уязвимости в разных антивирусных движках, и нашел многочисленные дыры в 14 из 17 проверенных движков, например, в Avast, Avg, Avira, BitDefender, BKAV, ClamAV, Comodo, DrWeb, eScan, ESET, F-Prot, F-Secure, Ikarus, Panda, Sophos и др. Найденные уязвимости допускают удалённое и локальное исполнение кода. Самое большое количество багов найдено в румынском BitDefender, чей движок охотно покупается другими компаниями для разработки собственных продуктов и расширения защиты уже имеющихся.

Отличился в его изысканиях и Kaspersky AV, у которого ключевые модули avzkrnl.dll и vlns.kdl не используют защиту ASLR. «Любой может написать надёжный эксплойт для Антивируса Касперского без особого труда», — считает Корет.

Среди уязвимых — DrWeb, который раньше обновлялся по HTTP без использования SSL/TLS, а рабочие файлы распространялись без цифровой подписи, только CRC32. Таким образом, любой мог подменить drweb32.dll, подобрав подходящий CRC32.

Автор описал несколько векторов атаки на разные антивирусы для вывода их из защищённого режима (ASLR) и эксплуатации уязвимостей. Например, использование двух вложенных друг в друга файлов внутри архива. Первый заставляет антивирус запустить эмулятор, а второй файл — это эксплойт. Можно и провести атаку типа «отказ в обслуживании», потому что многие антивирусы до сих пор уязвимы к zip-бомбам (багу 10-лет в обед). Например, тот же «Касперский» при распаковке маленького 7z-архива создаёт временный файл на 32 ГБ...

 

[Dragokas]

многие движки антивирусов написаны на небезопасных языках программирования, например, на C и/или C++, за исключением совсем немногих, таких как MalwareBytes на VB6.

гг. Порадовал. Серъезные заявления.
Это наверное потому, что эксплойты для VB6 лень писать. Язык старый. Никому оно не нужно.
Программист воткнул одну директиву "Игнорировать все ошибки" и VB хрен рухнет.

Скажу больше. Новый Касперский использует некоторые компоненты и на C#. А это фреймворк и непонятно + сколько еще дырок там можно найти.
На счет ASLR (рандомное размещение в памяти PE и структур) это они конечно зря.

 

[Phoenix]

Поднимали эту тему на форуме, исправили. Хотя 6.0 уже не актуальна. Но есть сертифицированные версии 5 и 6.
Сертифицированные МО РФ продукты Dr.Web
Сертификаты МО, в связи с тем, что они имеют статус документов ДСП, на сайте не размещаются. Заверенные копии этих сертификатов предоставляются по официальному запросу.
Продукты Dr.Web версии 6
Cертификаты действительны до 05.07.2018 г.

• Антивирус Dr.Web® Enterprise Suite Special Edition
• Антивирус Dr.Web® Pro для рабочих станций Windows
• Антивирус Dr.Web® для рабочих станций Windows
• Антивирус Dr.Web® для файловых серверов Windows

PavelPV,29 апреля 2014 в 19:43#
Выпущено обновление для версии 6.0 — добавлена проверка подписи файлов.

 

[Dragokas]

Кажется теперь начинаю верить докладчику.
Ужас. 2014 год на дворе. А у флагманских продуктов нет защиты от элементарной подмены файлов.

 

[SNS-amigo]

А у флагманских продуктов нет защиты от элементарной подмены файлов.

А ведь пишут "Включить/выключить самозащиту".
На деле она работает только как защита от взлома с целью сброса триала и неких изменений.

 

[regist]

А ведь пишут "Включить/выключить самозащиту".
На деле она работает только как защита от взлома с целью сброса триала и неких изменений.

SNS-amigo, прежде чем делать такие громкие заявления вы пытались сами это сделать? Или хотя бы воссоздать условия при которых теоретически можно было бы произвести подобное хотя бы с тем же доктором Веб.

 

[Dragokas]

А ведь пишут "Включить/выключить самозащиту".

Как минимум, из ядра включается защита от управления службой антивируса.
Без этой опции службу можно отключить консольной командой.

 

[GvU]

Где то попадалась статья про фаерволы, найти не могу,что сейчас и фаерволы бесполезны. Вот например разрешил браузеру в интернет,а к нему привязался вирус,и утекли пароли, так ли это?

 

[petr-ru]

Ну это немного не в тему - с уязвимостью фаерволов это никак не связано.
Вся соль в слове "привязался" - вот как раз данный момент ав-комплекс (или фаервол) и стараются обнаруживать - всякие инжекты, отравления dns, внедрение аддонов и прочее.