Исследователи заявили о дырах в антивирусах «Касперского», Avast и McAfee
26.11.14, Ср, 16:00, Мск,
Текст: Владислав Мещеряков
Питерская компания Digital Security сообщила об обнаруженной ей уязвимости в продуктах компаний «Лаборатория Касперского», McAfee и Avast Software. Уязвимость основана на использовании в антивирусных программах средств аппаратной виртуализации и, по заявлению Digital Security позволяет злоумышленнику получить контроль над ОС и отключить защитное ПО. «Лаборатория Касперского» обвинение отрицает.
Компания Digital Security из Санкт-Петербурга, занятая анализом защищенности систем, заявила об обнаружении ей уязвимостей в популярных антивирусных продуктах: MacAfee DeepDefender, Avast DeepScreen и Kaspersky Internet Security 15.
Эти три защитных решения на момент исследования Digital Security были единственными на рынке, использующими технологию аппаратной виртуализации, и целью тестирования было выяснить, как она влияет на безопасность использования продуктов.
В результате исследования, как сообщает Digital Security, была установлена возможность некорректного использования средств аппаратной виртуализации в этих продуктах, способная привести к полной компрометации системы. Через использование цепочки уязвимостей в этих антивирусных продуктах в целевой системе можно осуществлять вредоносные действия: например, добывать биткоины, осуществлять DDoS-атаки, полностью отключать антивирусное ПО на атакованном компьютере и др.
Применение средств аппаратной виртуализации в защитных продуктах - сравнительно новая тенденция, отчего она и заинтересовала исследователей, пояснил CNews директор исследовательского центра Digital Security Дмитрий Евдокимов. По его словам, применяя аппаратную виртуализацию, разработчик может работать на более низком уровне, чем ядро операционной системы, таким образом, получая возможность «прозрачно контролировать все, что происходит в ОС».
Однако, говорит Евдокимов, существует подозрение, что вендоры используют технологию виртуализации, чтобы «обмануть» стандартный механизм безопасности Windows под названием Patchguard, который появился в системе, начиная с Windows 8. С помощью средств виртуализации антивирусная программа в состоянии перехватывать функции ядра ОС в интересах собственной функциональности.
В «Лаборатории Касперского» заявили, что используют виртуальные машины для создания среды, изолированной от остальных приложений системы («песочницы»). Так, в Kaspersky Internet Security 2015 такая среда создается, в частности, для работы технологии «Безопасные платежи», например, «для защиты пользователя от несанкционированных скриншотов вводимых им финансовых данных».
Ныне принадлежащий Intel антивирусный разработчик McAfee признал существование описанной Digital Security уязвимости в своем продукте DeepDefender и поместил информацию о ней в базу знаний.
«Лаборатория Касперского» заявила, что не признает обнаруженный Digital Security феномен «уязвимостью». Сотрудники ЛК говорят, что «для того, чтобы ей воспользоваться, потенциальному злоумышленнику нужно обойти дополнительные механизмы защиты, имеющиеся в продуктах». Специального термина для описания этого феномена в компании нет, говорят собеседники CNews.
При написании этого материала возникла оживленная заочная дискуссия между сотрудниками Digital Security и «Лаборатории Касперского».
«Лаборатория Касперского» посредством своей пресс-службы признала, что в презентации Digital Security действительно описаны способы отключения гипервизоров защитных решений сторонних разработчиков, однако обойти такими способами (вызовом кода драйвера из стороннего приложения) механизмы защиты Kaspersky Internet Security 2015 невозможно.
В «Касперском» говорят, что попросили от Digital Security помимо презентации доказательства реального использования уязвимости на практике, однако такой демонстрации не увидели.
Дмитрий Евдокимов из Digital Security трактует эту ситуацию иначе: «Мы рассказали разработчику о проблеме, он внес изменения в продукт, но потребовал код. Наши специалисты код предоставлять не стали, просто указали, где можно найти описание проблемы. Мы не сочли нужным предоставлять свою наработку в виде кода».
Требование предоставить код продукта Digital Security «Лаборатория Касперского» отрицает. По словам официальных представителей компании, Специалисты Digital Security анализировали уже устаревшую к тому моменту версию KIS 2015 TR1, в то время как «задолго до общения с Digital Security» состоялся релиз актуального Kaspersky Internet Security 2015 MR1, в котором, по признанию Digital Security, уязвимость не работает.
http://www.cnews.ru/top/2014/11/26/issl … 7#xtor=AL-[internal_traffic]--[rbc.ru]-[cnews_block]-[item_2]