Сергей Ильин

Обход проактивной защиты Agnitum Outpost Security Suite в 2 строчки

В этой теме 9 сообщений

Информация об уязвимости опубликована здесь http://habrahabr.ru/post/161393/#habracut

Суть такова:

В режиме обучения проактивная защита Outpost при обнаружении подозрительной активности программы запрашивает действия у пользователя. Но если после вывода такого диалогового сообщения совершается Lock (то, что происходит при нажатии клавиш Win+L) — для антивируса это эквивалентно разрешению.

Автоматизация этого процесса может быть представлена таким вот bat-файлом, состоящим из 2-х строчек:

start 1.exeping 127.0.0.1 -n 10 -w 10000 > NULL & rundll32.exe user32.dll,LockWorkStation

Пинг здесь нужен для задержки (хотя есть более изящное решение), после которой выполнится команда Lock (rundll32.exe user32.dll,LockWorkStation).

Есть даже видео-демонстрация:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что-то я не понял, какое действие было выбрано на 1:21

Автор пишет, что если после вывода такого диалогового сообщения совершается Lock (то, что происходит при нажатии клавиш Win+L) — для антивируса это эквивалентно разрешению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Исследователи в области безопасности сообщили о наличии критической уязвимости в Agnitum Outpost Security Suite – коммерческий пакет комплексной защиты компьютера от угроз. Данная ошибка дает возможность обхода системы безопасности программы.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Исследователи в области безопасности сообщили о наличии критической уязвимости в Agnitum Outpost Security Suite – коммерческий пакет комплексной защиты компьютера от угроз. Данная ошибка дает возможность обхода системы безопасности программы.

подробнее

«Например, программы, которым явно не запрещено выходить в интернет, будут теперь выходить», - отметил автор.

Отредактируйте текст статьи что ли, ибо неактуально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Отредактируйте текст статьи что ли, ибо неактуально.

Почему это неактуально? Багу/фичу поправили разве уже?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Почему это неактуально? Багу/фичу поправили разве уже?

Я указал неактуальный момент. Да, если лочить систему с поднятым алертом - это будет приравнено к разрешающему действию. Фикс, по всей видимости, войдет в релизную версию.

Но, приложению не будет разрешен доступ в сеть - сработает политика фонового/игрового режима, которая по умолчанию выставлена в режим блокировки - блокировать все, что не разрешено правилами.

Если у пользователя установлен режим блокировки, приложение не сможет выйти в сеть. Если у пользователя установлен режим обучения, выведен диалог от фаервола с предложением создать правила и в этот момент мы лочим систему, то применяется политика фонового режима - блокировка. После снятия лока outpost вновь переключается в режим обучения и пользователю может быть выведено дополнительное предложение о создании правил (если программа реконектится несколько раз после неудачной попытки установить связь). Подобная проблема могла быть в старых версиях программы, например в 6.0.2279.251.0482 политика фонового и игрового режима была разрешить (баг). И в этом случае приложения действительно могли выйти в сеть. На последних версиях это неактуально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, если лочить систему с поднятым алертом - это будет приравнено к разрешающему действию. Фикс, по всей видимости, войдет в релизную версию.Но, приложению не будет разрешен доступ в сеть - сработает политика фонового/игрового режима, которая по умолчанию выставлена в режим блокировки - блокировать все, что не разрешено правилами.

А если приложение после "разрешения" пролезет в ядро и кильнет продукт? кто ему запретит и как, например, выходить в сеть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А если приложение после "разрешения" пролезет в ядро и кильнет продукт? кто ему запретит и как, например, выходить в сеть?

В этом случае - никто.

В качестве доказательства автор статьи представил схему автоматизации процесса. Во время выполнения программы при блокировании системы значок антивируса сигнализирует о переходе из режима обучения в «режим разрешения», таким образом открывая доступ к запрещенным функциям.

«Например, программы, которым явно не запрещено выходить в интернет, будут теперь выходить», - отметил автор.

Нет такого в актуальных версиях. Было в старых - сейчас нет: при запуске полноэкранного приложения или перехода в игровой режим устанавливается режим "блокировки", а не "разрешения".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS