nobody@nowhere

Уязвимость в HTTP-мониторе KIS6 обретает реальные черты

В этой теме 31 сообщений

Вот тут http://www.anti-malware.ru/phpbb/download.php?id=224 опубликована идея как осуществить выполнение произвольного кода в веб мониторе KAV. берегитесь Бубермот, сейчас стая выпущенных шавок вас загрызет. ума понять что Вы продемонстрировали у них не хватило, что еще раз подтверждает все факты.

а продемонстрировано судя по клинической картине типичное поведение после BOF. чем грозит BOF даже не хочется обсуждать. /topic? хочется верить что я не прав и это не приводит к выполнению произвольного кода, а только марает окно.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

john

как я понял, вы ссылку не ту дали. Мой исходник у меня есть, хотелось бы всё-таки увидеть именно реакцию, которую он вызвал. У тех самых "их", у которых ума не хватило.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
john

как я понял, вы ссылку не ту дали. Мой исходник у меня есть, хотелось бы всё-таки увидеть именно реакцию, которую он вызвал. У тех самых "их", у которых ума не хватило.

возможно, не дадите правильную? читаю сильно по диагонали, потому не сразу заметил что описано поведение при переполнении буфера.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здоров, товарищи расслабляющиеся и оттягивающиеся! :)

Пока одни товарищи расслабляются, другие работают в поте лица на благо пользователЕй :)

В соседней ветке

http://antimalware.ru/phpbb/viewtopic.php?...sc&start=60

сознательный товарищ Бубермот написал буквально следующее:

"Вобщем, решил я проверить другой сценарий, когда неправильный сервер разбивает ответ. Как раз в этом месте могла бы быть уязвимость, т.к. если стандартный браузер на некоем сервере получает нечто в обход вебфильтра, значит вебфильтру место на помойке. Достал старую лабу по сетям, переделал в примитивный вебсервер, который сидит на 8080 порту и на любой запрос кидает минимальный заголовок (статус + content-type) и тело еикара по байту. На первом же телнетном запросе вебфильтр касперского пропустил еикар. Решил попробовать через браузер, открываю страницу в опере (9.0 beta) - вместо тела еикара чистая страница. Пробовал IE (6.0), мозилку файрфокс(1.07), lynx, download master - никто не захотел воспринимать ответ от моего сервера. Понятно, что-то не то с заголовком ответа. Передал его одним махом - касперский завизжал. Короче, после серии опытов выяснил, что и касперский и браузеры отказываются воспринимать ответ, если в первой строке "HTTP/<версия>" передаётся не одним блоком. Возможно, где-то существует браузер, способный обработать разбитое начало заголовка, тогда баг в разборе http ответа действительно будет иметь практическое значение, иначе вреда от него никакого.

PS: Зато при побайтовой передаче, после того как касперский поймает вируса в окне браузера показывают не стандартную "я только что тебе жизнь спас" страницу каспера, а начало тела вирусни. Т.е. хоть возможность себя похвалить у каспера обламывается."

Вот это PS меня настолько задело, что решил выделить в отдельное обсуждение :)

Получается, можно теоретически в браузер передать любой код, в т.ч. вредоносный, и он выполнится? :roll:

А кто-то говорил, что эта уязвимость не имеет практического значения :?

В общем, как бы то ни было, получается, ни у кого сейчас нет адекватного HTTP-монитора в релизе, как ни печально - ни уникального, ни общеизвестного :(

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

>Получается, можно теоретически в браузер передать любой код, в т.ч. вредоносный, и он выполнится?

Теоретически можно все - зашифровать файл на удаленном сервере, сооздать на удаленном сервене 4 файла которые при слиянии образуют 1, и еще некоторые хитрости.

Уже вроде все кому не лень говорили что хттп-сканнер должен работать с нормальными браузерами Ж) а не обрабатывать все известные и неизвестные в мире извраты Ж)

Вот когда найдете браузер который понимает ответ по 1 байту и еще хттп-сканнер который это ловит Ж) тогда обсудим, а пока опять оффтопик пойдет. Уже все обсудили.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
>Уже вроде все кому не лень говорили что хттп-сканнер должен работать с нормальными браузерами Ж) а не обрабатывать все известные и неизвестные в мире извраты Ж)

Вот когда найдете браузер который понимает ответ по 1 байту и еще хттп-сканнер который это ловит Ж) тогда обсудим, а пока опять оффтопик пойдет. Уже все обсудили.

если можно удаленной атакой исполнить код в KAV - это будет несомненно использовано. понимает или не понимает браузер что-то ничего не значит и уже никого не волнует. код уже выполнен.

получается что ПО призванное защищать браузеры само уязвимо?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну, что ты, TiX, никак не можешь ничего понять :)

Или не хочешь? ;)

1. Делаем "неправильный сервер", как описал это орденоносец Бубермот :)

2. Кладём туда файлик с тем, что хотим передать жертве на браузер :)

3. Пишем жертве душещипательное письмо со ссылкой на "неправильный сервер" п.1 :)

4. Жертва туда приходит, получает побайтово то, что нужно запустить в браузере :)

5. Это, "то, что нужно запустить" запускается :)

6. Долго смеёмся, стрижём капусту, концы в воду, безбедная старость (по вкусу) :lol:

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

GG :) Интересно сколько еще топиков поднимится на 1 и тоже? чуть выше (ниже) уже идет обсуждение созданное Gudronom.

Там же я описал свою точку зрения.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну вот, так будет лучше, я слил две ветки на одну и ту же тему.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Там же я описал свою точку зрения.

она мне не интересна. нет смысла говорить о проблеме с тем кто в ней ничего не понимает :( у меня нет терпения headache заниматься вашим образованием. пожимаю руку господину headache и извиняюсь за некоторые резкие выскакзывания в его сторону. простите, headache, у меня нет вашего терпения и часто времени втолковывать Саням алфавит :(

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
>Уже вроде все кому не лень говорили что хттп-сканнер должен работать с нормальными браузерами Ж) а не обрабатывать все известные и неизвестные в мире извраты Ж)

Вот когда найдете браузер который понимает ответ по 1 байту и еще хттп-сканнер который это ловит Ж) тогда обсудим' date=' а пока опять оффтопик пойдет. Уже все обсудили.[/quote']

если можно удаленной атакой исполнить код в KAV - это будет несомненно использовано. понимает или не понимает браузер что-то ничего не значит и уже никого не волнует. код уже выполнен.

получается что ПО призванное защищать браузеры само уязвимо?

Елки уже и до кава дошли Ж) начиналось с ошибки в парсере.. заканчивается ошибками переполнения буффера? Ж)

Но тут уже вроде как другой разговор т.к это относится обсолютно ко всем продуктам Ж) Если в SpiderMail можно вызвать переполнение буффера то это тоже будет использованно Ж)

Добавлено спустя 1 минуту 21 секунду:

Ну' date=' что ты, TiX, никак не можешь ничего понять :)

Или не хочешь? ;)

1. Делаем "неправильный сервер", как описал это орденоносец Бубермот :)

2. Кладём туда файлик с тем, что хотим передать жертве на браузер :)

3. Пишем жертве душещипательное письмо со ссылкой на "неправильный сервер" п.1 :)

4. Жертва туда приходит, получает побайтово то, что нужно запустить в браузере :)

5. Это, "то, что нужно запустить" запускается :)

6. Долго смеёмся, стрижём капусту, концы в воду, безбедная старость (по вкусу) :lol:[/quote']

5тый пункт пока только в теории.. :(

Добавлено спустя 1 минуту 52 секунды:

[quote name=TiX"

Там же я описал свою точку зрения.

она мне не интересна. нет смысла говорить о проблеме с тем кто в ней ничего не понимает :( у меня нет терпения headache заниматься вашим образованием. пожимаю руку господину headache и извиняюсь за некоторые резкие выскакзывания в его сторону. простите' date=' headache' date=' у меня нет вашего терпения и часто времени втолковывать Саням алфавит :([/quote]

>нет смысла говорить о проблеме с тем кто в ней ничего не понимает

:))) Я так чувствую что мне чтоб смыть кровью свою некомпитентность надо найти дырку в компоненте доктора? .... и запостить ее везде где только можно? Ж) Вы этого от меня хотите?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4. Жертва туда приходит, получает побайтово то, что нужно запустить в браузере :)

не совсем - основную проблему Вы не уловили - хулиганство и дырки в браузере это совершенная мелочь по сравнению с этой, новой проблемой. первая мелкая проблема несущественна при грамотном пользователе. а если действительно наблюдается переполнение буфера, то злоумышленник может исполнить код в контексте avp.exe, и, возможно, в контексте защиты его сервисной компоненты которая работает с системными правами. это компрометирует всю систему - почти нет сомнений что ни один компонент KIS/KAV не мониторит активность собственных компонентов. резвись, хакер :( подождем офицальных заявлений, хочется верить что это не так и это косметическая проблема

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Получается, можно теоретически в браузер передать любой код, в т.ч. вредоносный, и он выполнится? :roll:

Теоретически вы правы. При однобайтовой передаче каспер обрубал связь (и тело еикара) на 18 байтов (из 68, т.е. доходило 70%).

Причём это связано не с длиной сигнатуры - замена одной буквы в конце тела "вируса" заставляла каспера пропускать его. Не знаю, почему именно 18 байтов, скорее всего у каспера прописан некий временной предел, в течении которого он "держит" непровереный кусок, не передавая его приложению. Поэтому, вполне возможно, что часть какого-нибудь вируса, которую получает браузер, окажется работоспособной.

Надеюсь, разработчики найдут какой-то компромис, потому что получать дисконнекты по таймауту при скачивании с медленных серверов тоже не хотелось бы.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Но тут уже вроде как другой разговор т.к это относится обсолютно ко всем продуктам Ж) Если в SpiderMail можно вызвать переполнение буффера то это тоже будет использованно Ж)

да, конечно. это равноприменимо к любому софту.

>нет смысла говорить о проблеме с тем кто в ней ничего не понимает

:))) Я так чувствую что мне чтоб смыть кровью свою некомпитентность надо найти дырку в компоненте доктора? .... и запостить ее везде где только можно? Ж) Вы этого от меня хотите?

"поздно пить боржом когда почки отвалились", не Вы первый их искавший...

Добавлено спустя 2 минуты 23 секунды:

Re: Уязвимость в HTTP-мониторе KIS6 обретает реальные черты

Получается, можно теоретически в браузер передать любой код, в т.ч. вредоносный, и он выполнится? :roll:

Теоретически вы правы. При однобайтовой передаче каспер обрубал связь (и тело еикара) на 18 байтов (из 68, т.е. доходило 70%).

Причём это связано не с длиной сигнатуры - замена одной буквы в конце тела "вируса" заставляла каспера пропускать его. Не знаю, почему именно 18 байтов, скорее всего у каспера прописан некий временной предел, в течении которого он "держит" непровереный кусок, не передавая его приложению. Поэтому, вполне возможно, что часть какого-нибудь вируса, которую получает браузер, окажется работоспособной.

Надеюсь, разработчики найдут какой-то компромис, потому что получать дисконнекты по таймауту при скачивании с медленных серверов тоже не хотелось бы.

а какой режим проверки HTTP трафика был? их там два.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

john

всё, теперь понял о чём вы. Скорее всего вы неправы, каспер не выдаёт хвалебную мессагу не потому, что умирает или "заражается" сам (хотел бы я посмотреть на того, кто заражается еикаром, тем более в plain/text документе :lol: ). Он не выдаёт в том случае, если часть данных уже передал клиенту. Кокой смысл добавлять своё "Ага, попался!" в конец наполовину отрендереной страницы?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
john

всё, теперь понял о чём вы. Скорее всего вы неправы, каспер не выдаёт хвалебную мессагу не потому, что умирает или "заражается" сам (хотел бы я посмотреть на того, кто заражается еикаром, тем более в plain/text документе :lol: ). Он не выдаёт в том случае, если часть данных уже передал клиенту. Кокой смысл добавлять своё "Ага, попался!" в конец наполовину отрендереной страницы?

тогда значит я Вас не понял. мне показалось что мусор появляется в нотификационном окне

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а какой режим проверки HTTP трафика был? их там два.

по дефолту, буферизированый с кэшированием в 1 секунду.

Похоже что я угадал.

Хотя сейчас я нашёл 100% дыру, даже перекомпилировать не пришлось :lol:.

Надо обновиться до критикал фикса, пожалуй, может не я один такой умный.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кста.. вот тут действительно можно поэксперементировать...

Бубермот давайте либо вы либо я попробуем отсылать побайтно не ейкар а чтонить более емкое (вирусное... желательно архив) тогда точно можно будет узнать - есть дыра или ее нет (а она есть... теоретически т.к например когда файл качается в Н потоков то все скачанное проверяется целиком когда клиенту остается отдать последний кусок последнего потока. Тоесть если вирус найден то касп рвет коннект и файл оказывается битым.. Но.. если это архив то битым вероятно окажется только последний файл. Все остальное будет целым...

Тут мы плавно переходим к спайдер Гейту где этого попытались избежать неотдавая файл пока он полностью небетет скачен.. но это к сожалению вызвало другие проблемы.

Вобщем одним хттп-сканнером необойтись - нужна комплексная защита - FS-Monitor + Http-Monitor + User Brains :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

TiX

смысла в проверке передачи архива не вижу, так как это уже начинает напоминать начальную постановку задачи "локальный троян-даунлоадер качает известный вирус". Веб антивирусу имеет смысл отлавливать эксплоиты, которые выполнятся прямо в движке браузера, архив же всяко поймается сканером по доступу. По крайней мере, пока браузеры не научились распаковывать архивы в память. Вот gzipped передачу проверить можно, но это надо с zlib разбираться, а мне лень.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Вот gzipped передачу проверить можно, но это надо с zlib разбираться, а мне лень.

а зачем разбираться - просто gzip'нуть файл заранее и потом отдавать его уже сжатый с нужным TE/CT никак не получится?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

коллеги, как ни странно.. но обсуждение принципов создания вредоноса - это фактически вредонос в теории. Как Вы все понимаете эта информация полностью открытая и может быть использована в злом умысле.. т.е. против простых пользователей.

Нет сомнения, что в общем случае - мы преследуем благие цели, но несмотря на это - прошу Вас разделяйте теоретические изыскания алгоритмов для создания идеальных ПРОГРАММ по защите от вредоносов (на примерах продуктов известных вендоров) от исследований и практических рекомедаций по созданию вредоносов, использующих для своих чёрных дел распространенные продукты.

Вы должны понимать, что индексация поисковыми системами происходит каждые 30 минут, а армия скрипткиддеров все растёт..

надеюсь на Ваше понимание.

Все PoC коды прошу выкладывать только тут

http://www.anti-malware.ru/phpbb/viewforum.php?f=10

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а какой режим проверки HTTP трафика был? их там два.

по дефолту, буферизированый с кэшированием в 1 секунду.

Похоже что я угадал.

Хотя сейчас я нашёл 100% дыру, даже перекомпилировать не пришлось :lol:.

Надо обновиться до критикал фикса, пожалуй, может не я один такой умный.

напишите в КЛ а то сейчас хай начнется что придержали информацию до релиза ;) btw, расскажите потом в чем суть?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Хотя сейчас я нашёл 100% дыру, даже перекомпилировать не пришлось Laughing.

Надо обновиться до критикал фикса, пожалуй, может не я один такой умный.

Ну хоть кратко расскажите в чем суть, не раскрывая подробностей, интересно же (подробное описание "дыры" лучше, конечно, отправить в ЛК с учетом обсуждения тут.) :yes:

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

>а зачем разбираться - просто gzip'нуть файл заранее и потом отдавать его уже сжатый с нужным TE/CT никак не получится?

gzip распаковывается на лету.. непройдет фокус.

Добавлено спустя 2 минуты 58 секунд:

>Веб антивирусу имеет смысл отлавливать эксплоиты, которые выполнятся прямо в движке браузера, архив же всяко поймается сканером по доступу

Вот! С этого надо было начинать Ж) Ибо это какраз то о чем я, КЛ и еще некоторые тут твердят уже второй день. Браузеры не посылают запрос по 1 байту Ж) Сервера их тоже не отдают по 1 байту Ж)

Все остальное - про кеширование в 1 секунду за которую часть ейкара попадает в брайзер равносильно передачи хдоровенного файла в много-поточном режиме. Задачи файлового сканнера...

Добавлено спустя 5 минут 24 секунды:

>Ну хоть кратко расскажите в чем суть, не раскрывая подробностей, интересно же (подробное описание "дыры" лучше, конечно, отправить в ЛК с учетом обсуждения тут.)

Я уже описал Ж) Суть какраз в том что часть данных отдается браузеру по истечения тайм-аута.. а проверка происходит всего блока (перед отдачей последнего куска файла) тоесть если файл оказывется зараженным касп рвет коннект и файл бьется.

Тут у меня еще интересней идея возникла - Keep-Alive :) надо проверить смотрит ли касп на Content-Lenght или проверяет данные после разрыва коннекта.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

john

может и прокатит, если запакованый "поток" и gz файл в zlib по формату не различаются. По уму, у архива в заголовке информация о имени и размере распакованых файлов хранится, а при поточной упаковке их взять неоткуда. Хотя, может в gzip'е этих полей и нет вообще.

Сергей Ильин

Дык, на форуме ЛК гражданину DVi отправил уже. Посмотрим, что ответят.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Недавно исследователи в области безопасности обнаружили новый вариант вымогателя Petya, он получил название Goldeneye. Эксперты утверждают, что между новым вариантом и оригиналом практически нет никаких различий. Читать далее
    • Компания «СёрчИнформ» интегрировала технологию экспертизы цифровых изображений Oz PhotoExpert в DLP-систему «КИБ Сёрчинформ». Новый модуль ImageControl в режиме реального времени проверяет изображения на подлинность по заданным условиям и предупреждает о том, что изображение было отредактировано. Читать далее
    • Исследователи обнаружили критическую уязвимость в почтовом клиенте с открытым исходным кодом Roundcube. Она позволяет выполнить произвольные команды на системе, просто отправив электронное письмо. Читать далее
    • Под слежкой американских спецслужб на протяжении более десяти лет находились пассажиры французской авиакомпании Air France. Технические возможности позволяли получать информацию в режиме реального времени, сообщает газета Le Monde со ссылкой на архивные материалы перебежчика Эдварда Сноудена. Читать далее
    • santy exiland-soft.com/ru/organizer-screen0.html   Что же здесь есть полезного ? 1) Пометить цветом  ( чтобы не терять объект  из вида ) ( или цвет объекта будет сопряжён с его статусом )
      2) Включить в группу > Переместить в группу.
      3) Добавить закладку ( повторная работа с образом и т.д )...
      4) Быстрый и детальный сквозной поиск по всем разделам
      Например записи относящиеся к  Tencent  ( они могут быть в разных колонках )
      Колонки: путь к файлу\производитель...
      А так один запрос разом по нескольким колонкам и мы получим полный список где есть Tencent 5) Выделить всё ( работа со всеми выделенными объектами ) - применяем фильтр и после этого все объекты выделяем. ( с возможностью выбора действия по всем выделенным объектам )