Антивирусы имеют много уязвимостей, заявляет специалист по ИБ Хошеан Корет



В ходе конференции, называемой Syscan 360, собравшей множество взломщиков и проводимой в столице Китая, спец компании из Сингапура, занимающейся информационной сохранностью, Хошеан Корет провел презентацию на объект взломе антивирусного ПО и поделился близкими решениями.

Генеральная мысль его презентации включается в последующем: производя конструкцию антивирусных фунтиков на собственный ПК, по его сужденью, юзеры подвергают его большей угрозы, прибавляя для взломщиков доп лазейку. По сужденью создателя презентации, средство охраны от вирусов оградит юзеров от старенькых неактуальных внешностей зловредов, все же раскрывают доп пути для новейших подвидов, тот или иной деятельно применяют дыры в движках антивирусов.

Антивирусы имеют много уязвимостей, заявляет специалист по ИБ Хошеан Корет

Государь Корет сооружает объяснения, что дыры в антивирусах обоснованы тем, что они сочинены на опасных ЯП, а конкретно большая часть реализованы с помощью C/C++, едва некие малоизвестные применяют иные языки. Из этого вытекает надлежащее: при обязанных способностях и способностях можнож использовать целочисленные переполнения (Integer Overflows), а также и Buffer Overflow, баг printf и другие дыры в ПО. Ведь антивирусные движки применяют высочайшие привилегии при службе с ОС, создают системные драйверы, обновляются по опасному протоколу HTTP - остается лишь брать и воспользоваться.

Чтоб подтвердить родные слова, вышеназванный спец в области ИБ цельный июль был занят поисками дыр в движках многообразных антивирусов, при этом итог поражает - 14 из 17 движков оказались опасными. В их числе находятся ведомые почти всем юзерам AVG, Avira, Comodo, DrWeb, ESET, F-Secure, Panda, Avast и остальные, дозволяющие запускать удалённо и локально случайный код. Но преимущественно итого опасных багов в собственном коде представил антивирус BitDefender из Румынии.

Антивирусы имеют много уязвимостей, заявляет специалист по ИБ Хошеан Корет

Отличился и русский Kaspersky: угрозой прибывает неиспользование охраны ASLR главными модулями avzkrnl.dll и vlns.kdl. Корет считает, что "фактически каждый опытнейший вирусописатель сумеет нацарапать эксплойт для Касперского".

Антивирусы имеют много уязвимостей, заявляет специалист по ИБ Хошеан Корет

Отметим, что посреди опасных антивирусов отметился DrWeb. Ранее настоящий антивирус создавал обновление сквозь HTTP без употребления , а применяемые файлы не водились подписаны цифровой подписью (наличествовала лишь CRC32). Вероятнее всего, принесенная дыра на данный момент теснее закрыта, но вероятна имелось замена файла drweb32.dll с пригодным CRC32.

Также есть некоторое количество приемов для принудительного заключения движков из режима охраны ASLR. Два вложенных товарищ в приятеля файла в архиве мастерят надлежащее: 1-й файл принуждает антивирус к запуску эмулятора, 2-ой же прибывает эксплойтом. До этого времени некие движки антивирусов "обнаружены" к атаке Distributed Denial of Service, употребляя т.н. zip-бомбы. Каспер делает временный файл в 32 ГБ в процессе распаковки маленького 7z-архива.

Подводя итоги, можнож огласить, что эксперт из сингапурской компании настроен очень скептично по отношению к современным кодерам, черкающим антивирусные кульки. Все же нельзя огласить, что служба за ПК без антивирусного фунтика превосходнее, чем с оным. Мы едва советуем затем агрегата новейшей ОС либо переустановки давнишней не употреблять повсевременно учетную запись админа, быть достойным сделать вторую с льготами опытнейшего либо обыденного юзера. Перед каждым суровым вмешательством в порядок будет предложено ввести пароль админа. Также Вы постоянно будете в курсе, какое конкретно прибавление запросило завышенные права.



Дата: 10-03-2017, 19:07 Категория: Новости ИТ Комментариев: 544