Антивирусы открывают лазейки для новых вирусов


AVirusПредставитель сингапурской компании в области информационной безопасности COSEINC Хошеан Корет (Joxean Koret) выступил на хакерской конференции Syscan 360 в Пекине с презентацией о взломе антивирусного программного обеспечения.

Специалист утверждает, что установив на компьютер антивирусное ПО, устройство становится более уязвимым, нежели ПК без антивируса. Это связано с тем, что антивирусные программы также являются уязвимыми к различным угрозам, т.е., с антивирусом добавляется и дополнительный вектор атаки. Конечно, антивирусное решение призвано обеспечивать защиту от вирусов и прочих угроз Сети. Однако на самом деле они защищают только от старых неактивных вирусов, при этом открывая лазейки для новых вирусов, которые пользуются дырами в движках антивирусных программ.

По словам автора доклада, по причинам производительности движки антивирусы написаны на небезопасных языках программирования - на C и/или C++. Исключением являются такие защитные решения, как MalwareBytes, которое написано на VB6. Соответственно, там повсеместно можно эксплуатировать:

  • переполнения буфера;
  • целочисленные переполнения;
  • форматы строк и прочее.


Эти движки (антивирусные) занимают привилегированное положение в ОС. Они способны:

  • устанавливать системные драйверы;
  • поддерживать множество форматов файлов, включая уязвимые;
  • работать с наивысшими привилегиями в системе;
  • обновляются по HTTP.


Другими словами все антивирусные решения представляют собой просто идеальный плацдарм для атаки.

Хошеан в течение июля искал уязвимости в ряде антивирусных движков и результат не заставил себя долго ждать. Он сумел выявить многочисленные дыры в 14 из 17 проверенных движков, в том числе в:

  • Kaspersky AV;
  • Avast;
  • Avg;
  • Avira;
  • BitDefender;
  • ClamAV;
  • Comodo;
  • DrWeb;
  • ESET;
  • F-Prot;
  • F-Secure;
  • Panda;
  • eScan и др.


Уязвимости допускают удаленное и локальное исполнение кода. Особенно большое количество багов в ходе изучения было обнаружено в решении BitDefender.

Говоря о "могучем" Kaspersky AV, то у него ключевые модули avzkrnl.dll и vlns.kdl не используют защиту ASLR. Т.е., для Антивируса Касперского можно написать надежный эксплойт, при чем без особого труда.

Otsutstvie zashiti ASLR v Kaspersky AV

Уязвимостями наделен и антивирус DrWeb, который раньше обновлялся по HTTP без использования SSL/TLS, а рабочие файлы распространялись без цифровой подписи, только CRC32. Таким образом, существует возможность подмены drweb32.dll, подобрав подходящий CRC32. Данную уязвимость в компании должны уже устранить.

Специалист предлагает несколько векторов атаки на разные антивирусы для вывода их из защищённого режима (ASLR) и эксплуатации уязвимостей. Например, использование двух вложенных друг в друга файлов внутри архива. Первый из них заставляет антивирус запустить эмулятор, второй файл является эксплойтом.

Также можно провести и атаку типа "отказ в обслуживании". Это возможно по причине уязвимости многих антивирусов к zip-бомбам (баг 10-летней давности). Например, неповторимый "Касперский", который при распаковке маленького 7z-архива создает временный файл на 32 ГБ.


Обновлено (31.07.2014 23:42)