- PVSM.RU - https://www.pvsm.ru -
Ранее я уже заявлял об этом [1] и даже делился видео-демонстрацией, но не раскрывая подробности. К сожалению, Разработчик забил болт так и не отреагировал на моё письмо о проблеме (моё обращение было зарегистрировано 2.10.2012 под номером sb-ru-02-121000048-t). Поэтому я решил показать все технические подробности. Приводимая далее видео демонстрация была впервые показана на ZeroNights 2012 [2] в рамках zeroday show.
Подобные уязвимости часто находятся случайным образом. Мой случай — не исключение. Как-то раз в 12 часов ночи, в полнолуние поставил себе Outpost Security Suite и настроил проактивку на максимальный режим. При этом режиме даже вставленная новая флешка в систему не примонтируется, пока не разрешить несколько действий во всплывающих окнах антивируса. Однажды при вставке новой флешки как обычно появилось всплывающее окно от антивируса, но я не давал согласия на установку. А привычным образом заблокировал компьютер (клавиш Win+L), покинув его на несколько минут. Каково же было моё удивление, когда я выяснил, что флешка-таки примонтировалась в систему! Вот тут и началось самое интересное...
В режиме обучения проактивная защита Outpost при обнаружении подозрительной активности программы запрашивает действия у пользователя. Но если после вывода такого диалогового сообщения совершается LogOut из системы (то, что происходит при нажатии клавиш Win+L) — для антивируса это эквивалентно разрешению.
Автоматизация этого процесса может быть представлена таким вот bat-файлом, состоящим из 2-х строчек:
start 1.exe
ping 127.0.0.1 -n 10 -w 10000 > NULL & rundll32.exe user32.dll,LockWorkStation
Пинг здесь нужен для задержки (хотя есть более изящное решение [3]), после которой выполнится команда логаута (rundll32.exe user32.dll,LockWorkStation
).
Т.е запускаем файл 1.exe, ждём несколько секунд (чтоб антивирус вывел окно) и выполняем логаут из системы.
Более того, при логауте можно увидеть, как значок антивируса меняется с синего на зелёный. Это означает, что он переходит из режима обучения в режим разрешения (всё что не запрещено — разрешено). Что ослабляет систему защиты. Например, программы, которым явно не запрещено выходить в интернет, будут теперь выходить.После входа в систему значок снова меняется на синий.
Суть демонстрации:
Проверены на уязвимость следующие версии Agnitum Outpost Security Suite:
Автор: shanker
Источник [5]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/21837
Ссылки в тексте:
[1] заявлял об этом: http://www.securitylab.ru/blog/personal/shanker/24993.php
[2] ZeroNights 2012: http://2012.zeronights.ru
[3] хотя есть более изящное решение: http://kaktusenok.blogspot.ru/2011/10/delay-sleep-bat-windows.html
[4] DebugViewer: http://technet.microsoft.com/en-us/sysinternals/bb896647.aspx
[5] Источник: http://habrahabr.ru/post/161393/
Нажмите здесь для печати.