Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Exploit na Kasperskiego… czarny rynek exploitów na antywirusy kwitnie

23 września 2015, 09:30 | Aktualności | 1 komentarz

Tavis Ormandy, opublikował szczegóły podatności w antywirusie Kaspersky. Problem umożliwia wykonanie kodu na systemie operacyjnym ofiary, jedynie przez fakt że ofiara przeskanowała antywirusem odpowiednio spreparowany plik.

Wyobraźcie sobie więc scenariusz:

1. Dostajecie maila z załącznikiem (odpowiednio spreparowanym)
2. Antywirus sam skanuje maila
3. Wykonuje się złośliwy kod, który wręcz mógłby zatrzeć swoje ślady (nie zobaczycie już maila…).
4. Kod ten zazwyczaj wykonuje się z wysokimi uprawnieniami.

Groźne, prawda? Otóż to, polecam więc przynajmniej nie chwalić się z jakiego AV korzystacie…

Poniżej, przykład działania exploitu i widoczny odpalony kalkulator (grafika za Tavisem):

Działanie exploitu na Kasperskiego - za Tavis Ormandy

Działanie exploitu na Kasperskiego – za Tavis Ormandy

Dalej, w cytowanym poście Tavis zaznacza, że czarny rynek na tego typu exploity kwitnie i to już od dłuższego czasu…:

Za Tavis oraz WikiLeaks:  https://wikileaks.org/hackingteam/emails/emailid/71862

Za Tavis oraz WikiLeaks:
https://wikileaks.org/hackingteam/emails/emailid/71862

Na koniec dodajmy jeszcze, że produkt Kasperskiego został skompilowany bez flagi /GS, chroniącej w dużej mierze przed podatnościami klasy buffer overflow. Co ciekawe, kilka lat temu przełącznik ten został przez Microsoft domyślnie ustawiony, więc programiści Kasperskiego musieli go specjalnie wyłączyć. Bez sensu również jest fakt, że unpackery różnych formatów (choćby zip-a) w antywirusie tym działają z pełnymi uprawnieniami…(system).

–Michał Sajdak

 

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Oskar
    Odpowiedz

Odpowiedz