Антивирусные продукты сами полны уязвимостей

Считается, что антивирусные программы обеспечивают защиту компьютеров и сетей. Однако, организации должны проверять такие продукты перед их развертыванием на своих системах, поскольку многие из них содержат серьезные уязвимости, предупреждает специалист Джоксин Корет из сингапурской компании COSEINC. По его мнению, антивирусные программы уязвимы для атак не меньше, чем приложения, которые они призваны защищать.
 
Антивирусные продукты сами полны уязвимостей
 

Корет провёл прошлый год, занимаясь в свободное время анализом антивирусных продуктов и их движков. Он утверждает, что нашёл десятки удаленных и локальных уязвимостей в 14 из них. Уязвимости варьируются от атак типа отказа в обслуживании (DoS) до багов, которые позволяют потенциальным злоумышленникам повысить свои привилегии в системах или выполнить произвольный код. Некоторые ошибки были расположены в движках - основных частях антивирусных продуктов - и ряде других компонентов. Корет представил свои выводы на конференции SysScan 360 в начале августа.

«Использование антивирусных движков не отличается от эксплуатации других клиентских приложений». Они не применяют никаких специальных методов самозащиты и полагаются на технологии операционных систем, такие как ASLR и DEP, а иногда они даже отключают эти функции.
 

Системные привилегии обеспечивают доступ

 
Поскольку движки антивирусов обычно работают с самыми высокими системными привилегиями, использование их уязвимостей обеспечит злоумышленникам доступ к системе, говорит Корет. Поверхность атаки у них очень велика, потому что они должны поддерживать длинный список форматов файлов и анализаторов, и парсеры форматов файла обычно содержат ошибки.
 
Уязвимость антивирусов
 
По мнению исследователя, ещё одна проблема состоит в том, что некоторые антивирусные продукты не ведут цифровой подписи обновлений и не используют зашифрованные соединения HTTPS для их загрузки, что позволяет злоумышленникам вставить в трафик свои вредоносные файлы.
 
Во время выступления на SysScan Корет раскрыл уязвимости и некоторые другие вопросы безопасности, такие как отсутствие защиты ASLR для некоторых компонентов в антивирусных продуктах Panda Security, Bitdefender, Лаборатории Касперского, ESET, Sophos, Comodo, AVG, IKARUS Security Software, Доктор Веб, MicroWorld Technologies, BKAV, Fortinet и ClamAV. Он также утверждает, что нашёл уязвимости в антивирусных продуктах Avira, Avast, F-Prot и F-Secure.
 
Корет не стал сообщать обо всех своих открытиях всем производителям. По его словам, они сами должны вести проверку продаваемых продуктов, например, привлекая за вознаграждение сторонних независимых исследователей. Другие его рекомендации включают в себя использование языков программирования более безопасных, чем C и C ++, отказ от применения самых высоких привилегий при парсинге сетевых пакетов и файлов, поскольку «анализаторы файлов, написанные на C/C++ опасны, запуск потенциально опасного кода в эмуляторах или «песочницах», использование SSL и цифровых подписей для обновления и удаление кода угроз, которые уже много лет как не используются.
 
c++
 
Исследователь подтвердил в своем выступлении, что некоторые из найденных им уязвимостей уже были исправлены.
 
Независимо от анализа Корет исследователи из Offensive Security недавно обнаружили три уязвимости в продукте Symantec Endpoint Protection. Они могут быть использованы локальным пользователем с ограниченными правами, чтобы получить полный доступ к системе.

Осторожности по-прежнему не хватает

 
Не скажу, что антивирусные программы бесполезны, так как пользователи любят кликать по ссылкам и устанавливать приложения, после чего немало сетей оказались под угрозой.
 
Говорит главный исследователь компании Risk Based Security Карстен Эйрам.
 
Тем не менее, системные администраторы должны тщательно выбрать инструменты безопасности и включаемые функции, особенно когда дело доходит до проверки содержимого. Все эти анализаторы формата файлов на протяжении лет доказали, что являются настоящей находкой для хакеров.
 
Эйрам не присутствовал на вышеописанном докладе, однако видел слайды и говорит о достоверности исследования.
 
Увеличение поверхности атак, часто происходящее при установке антивирусного ПО в попытке сделать системы/сети безопаснее, вместо этого могут снижать их безопасность.

 
Тот факт, что антивирусные продукты уязвимы, не удивляет экспертов, но может стать сюрпризом для простых пользователей. С их стороны логично ожидать хороших практик кодирования от компаний, которые хорошо знакомы с рисками уязвимого кода и продают защиту от атак, использующих уязвимости другого программного обеспечения.

Не только антивирусы

 
Эта проблема выходит за рамки антивирусных программ. Бен Уильямс, тестер из NCC Group, проанализировал устройства безопасности, в том числе шлюзы электронной почты, межсетевые экраны, серверы удаленного доступа и системы UTM от ведущих производителей в 2012 году. Он прошёл к выводу, что большинство из них основаны на плохо поддерживаемой системе Linux системы, работая на основе небезопасных веб-приложений.
 
Хотя мы делаем всё возможное, но никакое программное обеспечение не является идеальным,
сообщил представитель ESET по электронной почте в ответ на запрос об исследовании Корет. Компания выпустила обновления в течении трёх дней после того, как проблема была объявлена, так же как и компания Bitdefender. Однако последняя не располагает полным перечнем ошибок, и не гарантирует их исправление.

 
С момента объявления мы провели внутренний аудит кода, исправили ряд других ошибок и внесли изменения в процессы проектирования и контроля качества, которые должны привести к предотвращению подобных ситуаций в будущем,
заявил представитель Bitdefender.
 
Проблемы в антивирусных продуктах Лаборатории Касперского, описанные в презентации, а именно отсутствие ASLR в некоторых компонентах и потенциальные DoS-проблемы при сканировании вложенных архивов не имеют решающего значения для обеспечения безопасности клиентов компании, заявил её представитель. Однако компоненты vlns.kdl и avzkrnl.dll всё же получили поддержку ASLR после выхода презентации.
Безопасность
Присоединиться к обсуждению

Поделиться мнением