- PVSM.RU - https://www.pvsm.ru -

Антивирусы снова под прицелом: в Malwarebytes обнаружены критические уязвимости

Антивирусы снова под прицелом: в Malwarebytes обнаружены критические уязвимости - 1 [1]

Компания Malwarebytes работает над исправлением серьезных уязвимостей в своем антивирусном продукте. Ошибки обнаружил [2] эксперт из команды Google Project Zero Тэвис Орманди.

Исследователю безопасности удалось выяснить, что обновления продукта Malwarebytes Antivirus не были подписаны с помощью цифровой подписи компании и загружались по незащищенному HTTP-соединению. Все это делает пользователей антивируса подверженным атаке типа Man-In-The-Middle — злоумышленники могли легко подменить пакеты обновлений.

Уязвимости были обнаружены в ноябре 2015 года. Однако сотрудникам Malwarebytes не хватило 90 дней для того, чтобы исправить дыры безопасности в своем продукте, поэтому исследователь Google Тэвис Орманди (Tavis Ormandy) опубликовал информацию о них в своем блоге.

По его словам, процесс обновления антивируса Malwarebytes включает загрузку YAML-файлов. Несмотря на то, что эти файлы содержат контрольную сумму MD5, их передача с помощью незащищенного HTTP-соединения позволяет атакующему легко осуществить подмену файлов.

Орманди предполагает, что разработчики антивируса были уверены в том, что злоумышленникам все равно не удастся перехватить данные, поскольку они зашифрованы с помощью зашитого в коде ключа RC4. Однако, удалось сделать это с помощью простой команды OpenSSL.

Также Орманди обнаружил некорректно составленные контрольные списки (ACL) антивируса — это позволяет осуществить повышение привилегий. По умолчанию, всем пользователям антивируса разрешается модифицировать и создавать файлы в директории, где хранится конфигурация Malwarebytes Antivirus. Это дает злоумышленникам возможность проведения атак, связанных с удаленным исполнением кода на машине жертвы.

Руководитель Malwarebytes Марчин Клещински (Marcin Kleczynski) подтвердил информацию об обнаружении уязвимостей и сообщил, что компания столкнулась со сложностями, которые не позволили исправить их в 90-дневный срок. По словам топ-менеджера, компания смогла исправить несколько из обнаруженных ошибок на стороне сервера и теперь занимается внутренним тестированием новой версии антивируса. Кроме того, Клещински заявил, что по его данным, с помощью обнаруженных Орманди уязвимостей злоумышленники не могут проводить массовые атаки на пользователей Malwerabytes Antivirus. У них есть возможность лишь «атаковать одну машину за один раз».

За последний год это уже не первый случай обнаружения серьезных уязвимостей в защитном программном обеспечении и атак на антивирусные компании. В июне 2015 года в СМИ попала информация о том, что британские и американские спецслужбы искали [3] уязвимости продуктах «Лаборатории Касперского». Примерно в то же время исследователи из Google Project Zero рассказали [4] о серьезной уязвимости в антивирусе ESET NOD32, которая позволяла атакующему читать, модифицировать и удалять любые файлы на компьютерах, на которых установлен антивирус.

Летом того же года стало известно [5] о том, что в продукте Symantec Endpoint Protection обнаружен целый ряд серьезных уязвимостей, которые позволяли атакующим осуществлять обход аутентификации, повышения привилегий, чтение и запись файлов, а также осуществления SQL-инъекций. Кроме того, практически одновременно с этим было объявлено о том, что антивирусная компания BitDefendet стала жертвой хакерской атаки, в результате которой были похищены пароли пользователей — особый резонанс вызвал тот факт, что они хранились в открытом виде.

Позднее осенью 2015 года серьезные ошибки безопасности были обнаружены [6] в криптософте TrueCrypt, а еще спустя несколько месяцев, в декабре того же года критические уязвимости были также найдены [7] в антивирусе Avast.

Кроме того, осенью прошлого года исследователь безопасности Мазин Ахмед опубликовал [8] исследование, в ходе которого ему удалось обнаружить XSS-уязвимости сразу в нескольких популярных межсетевых экранах. Мы провелили самообучающийся межсетевой экран PT Application Firewall [9] на подверженность описанным в работе обходам защиты — все представленные способы обхода были заблокированы экраном.

Автор: Positive Technologies

Источник [10]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/antivirusy/111732

Ссылки в тексте:

[1] Image: https://habrahabr.ru/company/pt/blog/276811/

[2] обнаружил: https://code.google.com/p/google-security-research/issues/detail?id=714

[3] искали: http://habrahabr.ru/company/pt/blog/261075/

[4] рассказали: http://googleprojectzero.blogspot.ru/2015/06/analysis-and-exploitation-of-eset.html

[5] стало известно: http://habrahabr.ru/company/pt/blog/264013/

[6] обнаружены: https://habrahabr.ru/company/pt/blog/268087/

[7] найдены: https://habrahabr.ru/company/pt/blog/272851/

[8] опубликовал: https://habrahabr.ru/company/pt/blog/266717/

[9] PT Application Firewall: http://www.ptsecurity.ru/products/af/

[10] Источник: https://habrahabr.ru/post/276811/