Обнаружена возможность подмены трафика обновления Dr.Web

23.04.2014 | 10:02
На блог-сервисе Хабрахабр опубликована статья, подробно рассказывающая о проблемах протокола обновления в антивирусе "Доктор Веб" - в случае перехвата трафика, становится возможным подмена компонентов антивируса и выполнение произвольного кода. Информацию об уязвимости впервые опубликована в материалах конференции SyScan2014 в презентации Breaking Antivirus Software (Joxean Koret). По мнению автора статьи, уязвимость до сих пор остается открыта, несмотря на множеством сертификатов (ФСТЭК, ФСБ, Минобороны РФ) у уязвимого Dr.Web версии 6.0.

В ходе эксперимента все настройки антивируса выставлены по умолчанию, встроенная защита не отключалась. В качестве операционной системы используется Windows 7. Для эксплуатации уязвимости необходимо, чтобы атакующий имел возможность перенаправления трафика пользователя (например, вследствие подмены DNS-сервера, отравления ARP-кэша или как-то еще, не исключая физический доступ к каналу связи). Для простоты эксперимента, в тестовой среде компьютеры клиента и злоумышленника находятся в одной сети. Для скачивания обновлений со своих серверов, Dr.Web использует HTTP-протокол, т.е. данные передаются в открытом виде.

После процедуры скачивания файлов, происходит замена старых файлов антивируса. При этом дополнительных проверок не производится. Например, Dr.Web без проблем принял троян-загрузчик вместо родного "drwebupw.exe". После его загрузки "Доктор Веб" выполнил инфицированный объект, предоставив полный контроль атакующему.

Подробности
перехват трафика
По материалам uinc.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код