Механизм сканирования ESET против удаленного Root Exploit

18 Июнь 2015

мп3 скачать бесплатно без регистрации

Анализ эмулятора кода, доступного в продуктах ESET, показал, что компонент не был достаточно устойчив и мог легко поставить под угрозу, позволив атакующему взять на себя полное управление системы, выполняющей уязвимое решение по обеспечению безопасности.



Эмуляция кода была интегрирована в антивирусных продуктах для выполнения исполняемых файлов и сценариев, прежде чем пользователь запустит их и контролировать действие в системе. Процесс имеет место в изолированной среде, которая не должна влиять на реальную систему.

Собранными данными снабжают к эвристическому анализатору, решающему, является ли природа подпрограмм злонамеренной или подозрительной, сопровождается созданием подписи обнаружения.
Незначительный сбой инициирован во время подпрограммы сканирования

Tavis Ormandy от Google Project Zero обнаружил уязвимость в Антивирусе NOD32, но другие продукты затронуты также, включая потребительские версии для Windows, OS X и Linux, а также Конечной точки и Бизнес-выпусков.

“Много антивирусных продуктов включают возможности эмуляции, предназначающиеся, чтобы позволить неупаковщикам работать за несколькими циклами, прежде чем подписи будут применены. ESET NOD32 использует минифильтр или kext [расширение ядра] для прерывания всего диска I/O, проанализированный и затем эмулированный, если исполняемый код обнаруживается”, говорит Ормэнди в отчете уязвимости.

Поскольку дисковые операции I/O могут быть вызваны многочисленными способами, недоверяемый код может пройти через диск, когда сообщения, файлы, изображения или другой тип данных получены, следовательно потребность в устойчивом и должным образом изолированном эмуляторе кода в антивирусных решениях.

Касания уязвимости к управлению теневой задачей стека и могут быть инициированы каждый раз, когда работа сканирования (в реальном времени, запланированный или руководство) происходит.
Атака осталась бы незамеченной

Ormandy нашел незначительный сбой, проанализировал его и создал удаленное корневое использование за несколько дней, говоря, что полный компромисс может быть достигнут, означая, что чтение или изменение данных по системе возможны независимо от прав доступа; это также включает программы установки, доступ к связанным или встроенным компонентам или журналирование системного действия.

Компромисс не требует взаимодействия с пользователем и не отмечается всегда, потому что задачи I/O представляют операции нормальной системы.

“Сети For Windows, возможно пойти на компромисс и принять процесс ekrn.exe, предоставляя N T AUTHORITY\SYSTEM удаленным атакующим. На Mac и Linux, возможно пойти на компромисс и принять процесс esets_daemon, предоставляя корневой доступ атакующим”, исследователь говорит.

Ормэнди сообщил об уязвимости ESET и компания требовала у обновления механизм сканирования четыре дня спустя. Техническая подробная информация была предоставлена для уязвимости вместе с использованием.

скачать нарезки MP3 рингтонов