Новости:

You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Внимание!!! Форум Модерируется!

Главное меню
avatar_brodyaga

Небезопасные антивирусы

Автор brodyaga, 22-04-2020, 19:54

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

brodyagaTopic starter

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Во всех популярных антивирусах для Windows, macOS и Linux найден механизм самоуничтожения.

Эксперты по информационной безопасности обнаружили в большинстве популярных антивирусов под Windows, macOS и Linux уязвимость, дающую возможность опытным хакерам без особого труда удалять любые файлы с компьютера жертвы, в том числе и файлы операционной системы. Большинство разработчиков устранили брешь, но в ряде продуктов проблема по-прежнему присутствует.

Небезопасные антивирусы
В большинстве распространенных антивирусов обнаружена уязвимость, позволяющая вывести их из строя и даже «сломать» операционную систему. Проблему выявили специалисты исследовательской компании RACK911 Labs, протестировав различное антивирусное ПО под Windows, macOS и Linux.

Найденная брешь позволяет манипулировать антивирусом во время пребывания его в так называемом «состоянии гонки» (race condition). Это небольшой отрезок времени между обнаружением вредоносного файла и запуском процесса его удаления или, в зависимости от настроек, перемещения в карантин. Использование данной уязвимости основано на том, что в любой системе антивирусы выполняют файловые операции с самым высоким уровнем привилегий.

Атакуя ПК подобным образом, хакер может заставить антивирус удалить один из собственных ключевых компонентов, после чего он перестанет работать, или же переместить важный системный файл. В этом случае потребуется переустановка системы или восстановление ее из резервной копии.

Как работает уязвимость
Для эксплуатации уязвимости требуется загрузить на компьютер любой файл, на который среагирует антивирус, определив его как вредоносный. Затем в промежутке между распознаванием файла и запуском функции его удаления нужно подменить каталог с файлом так называемой «символической ссылкой» (symlink в macOS и Linux), ведущей на любой другой файл, который хакеру нужно удалить. В Windows для этого требуется подмена каталога при помощи точки соединения (directory junction).

Протестированные RACK911 Labs антивирусы не проверяли ссылки, по которым удаляли файлы, что и позволяло удалять любой компонент как самого антивирусного ПО, так и операционной системы.

По словам исследователей RACK911 Labs, осуществление подобной атаки – тривиальная задача для опытного хакера. Единственное, что может помешать ему это сделать – это его собственная медлительность, поскольку состояние гонки длится всего несколько мгновений. Исследователи добавили, что если взломщик промедлит с подменой символических ссылок хотя бы на секунду, то ему придется повторно загружать на компьютер поддельное вредоносное ПО, на которое должен среагировать антивирус.

Уязвимые антивирусы
Ошибка, обнаруженная специалистами RACK911 Labs, присутствует как в малоизвестных антивирусных решениях, так и в продуктах крупных компаний. К примеру, в антивирусах под Windows она была выявлена в Avast, Avira, Comodo Endpoint Security, BitDefender GravityZone, F-Secure Computer Protection, FireEye Endpoint Security, Intercept X (Sophos), Malwarebytes for Windows, McAfee Endpoint Security, Panda Dome, Webroot Secure Anywhere и даже в Kaspersky Endpoint Security.

Эксперты не отрицают, что аналогичная проблема может скрываться и в других антивирусах. Они указали лишь на те, которые протестировали самостоятельно, и в которых уязвимость была найдена.

You are not allowed to view links. Register or Login

farts5

Вообще не доверяю антивирам после крупной атаки нашей компании. Мой совет: лучше ставить шлюз. Много слышала о Traffic Inspector Next Generation, но купила только недавно. К сожалению, в свете неприятных событий: нашими данными завладели хакеры. Компания понесла убытки почти на 3 миллиона... После такого в срочном порядке установили систему безопасности. Лучше поздно, чем никогда.

Wolk1535

You are not allowed to view links. Register or Login
Вообще не доверяю антивирам после крупной атаки нашей компании. Мой совет: лучше ставить шлюз. Много слышала о Traffic Inspector Next Generation, но купила только недавно. К сожалению, в свете неприятных событий: нашими данными завладели хакеры. Компания понесла убытки почти на 3 миллиона... После такого в срочном порядке установили систему безопасности. Лучше поздно, чем никогда.

Опять же огненные стены так себе защита.
Нужен комплекс мероприятий. Я бы на Вашем месте рассмотрел варианты от Cisco. Очень дорого, но контролирует даже то, что работки скачивают с сервера себе на ПК и с ПК на флешки.
С помощью wi-fi сетей можно на предприятии организовать контроль безопасности и следить кто из сотрудников включает телефон в режиме точки доступа.
Так же можно следить по заголовкам пакетов куда напраляется трафик и от кого. По статистике можно посмотреть, что делает сотрудник в сети и какие данные с вероятностью до 80% он передаёт и кому.

И это так поверхностно...

В нескольких компаниях мы так раскрыли очень много дел и с экономили им более 300 млн рублей.

Wolk1535

А по теме, что Simantyc рулит получается )))

MArKuv

You are not allowed to view links. Register or Login
Опять же огненные стены так себе защита.
Нужен комплекс мероприятий. Я бы на Вашем месте рассмотрел варианты от Cisco. Очень дорого, но контролирует даже то, что работки скачивают с сервера себе на ПК и с ПК на флешки.
С помощью wi-fi сетей можно на предприятии организовать контроль безопасности и следить кто из сотрудников включает телефон в режиме точки доступа.
Так же можно следить по заголовкам пакетов куда напраляется трафик и от кого. По статистике можно посмотреть, что делает сотрудник в сети и какие данные с вероятностью до 80% он передаёт и кому.

И это так поверхностно...

В нескольких компаниях мы так раскрыли очень много дел и с экономили им более 300 млн рублей.


Сisco ну не знаю, он же чужестранец, у Акадо с ним были проблемы, из-за американских санкций, циско решило просто прекратить поддержку системы платного телевидения и все. Т.е. америкосы или наши решат, что больше нельзя вести друг с другом дела, как они пишут «ввели ограничения в отношении некоторых стран», и все снова переделывать что ли, знаю, уже плавали с этими санкциями, Акадо использовало систему кодирования NDS от циско, проблемы их могла бы решить смена поставщика системы условного доступа, а тут вытекает и замена системы и  абонентских STB, представляешь это сколько по деньгам, они оценили это в 600 или 700 млн.руб. я так не хочу, сиди и думай будут они работать или нет. С помощью wi-fi сетей можно на предприятии организовать контроль безопасности и следить кто из сотрудников включает телефон в режиме точки доступа. Также можно следить по заголовкам пакетов куда направляется трафик и от кого. А это тинг тоже может

🡱 🡳

* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.