Обнаружена серьезная уязвимость в антивирусе AVG

Обнаружена серьезная уязвимость в антивирусе AVG

Пользователями обнаружена серьезная ошибка в одном из приложений антивирусного программного обеспечения AVG, которое включено во всю линейку продукции AVG 2011, включая популярный бесплатный антивирус.

По неофициальным данным стало известно о наличии ошибки в приложении AVG LinkScanner, которая может привести к засорению трафика веб-сайтов (флуд), в результате многократных HTTP запросов, а так же ограничению нормальной работы браузера.

Приложение AVG LinkScanner имеет две функции. Первая - Search-Shield, которая отображает рейтинг безопасности для всех результатов поиска, возвращаемых самыми популярными поисковыми службами. И вторая - Surf-Shield, осуществляет проверку веб-страниц в реальном времени на наличие вредоносов, как при переходе по ссылке, так и при введении адреса страницы в адресную строку браузера. Как оказалось, именно при такой проверке возникает проблема.

Дело в том, что при проверке, в самое начало исходного HTML кода страницы добавляется скриптовый элемент, который затем загружает локальный JavaScript файл - avg_ls_dom.js. Таким образом, антивирус подключается между браузером и веб-сайтом, для возможности проверки страницы до того, как будет запущен какой-либо потенциально опасный код.

Загружаемый JavaScript код, как предполагается, создает буфер с контентом загружаемой страницы и перенаправляет его через POST на другой относительный адрес URL - /CC0227228D62/CheckData.

Запрос выглядит следующим образом:
httpRequest.open("POST", "/CC0227228D62/CheckData", false);
httpRequest.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
httpRequest.send(params);

Далее, этот запрос прерывается антивирусом, который проверяет код на наличие вредоносных внедрений, а затем, либо позволяет отобразить страницу, либо выдает ошибку загрузки. Однако, оказалось, что уязвимость, подобно прокси компоненту, пропускает запросы и отправляет их на сервер, откуда была загружена страница, в результате чего генерируются многократные HTTP запросы.

В результате запрос будет выглядеть так: <source_ip> - - [12/Oct/2010:00:06:32 -0400] "POST /CC0227228D62/CheckData HTTP/1.1" 404 5486 "http://<url>" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.8) Gecko/20100722 YFF35 Firefox/3.6.8" (27)

Причем плотность таких запросов будет зависеть от количества пользователей с антивирусом AVG, пытающихся посетить конкретную страницу. И самое неприятное в этом то, что у пользователя, в это время в браузере будет открываться огромное количество соединений, которые не будут загружаться.

Данная проблема обсуждалась на тематических форумах и блогах, так же как и на франзузком форуме технической поддержки AVG, где компания сообщила о том, что знает о существующей проблеме и работает над ее устранением.

В России обкатывают новый DDoS-ботнет мощностью свыше 2,5 Тбит/с

Российский интернет столкнулся не с очередной волной DDoS, а с генеральной репетицией чего-то куда более серьезного. Специалисты StormWall сообщили о серии необычных атак, мощность одной из которых достигла 2,56 Тбит/с при интенсивности 1 млрд пакетов в секунду.

По мнению экспертов, за атаками стоят не случайные хакеры, а хорошо подготовленная команда, которая тестирует новый ботнет или инструменты для будущих масштабных операций.

Главная особенность кампании — атакующие не ограничиваются классическим UDP-флудом. Они одновременно имитируют легитимный пользовательский трафик, создают полноценные TCP-соединения и на лету меняют параметры пакетов, пытаясь подобрать комбинации, способные обойти защиту.

В StormWall отмечают, что злоумышленники быстро адаптируются к действиям защитников. После того как специалисты заблокировали их мониторинговые проверки, атакующие оперативно изменили тактику и продолжили атаки уже по новым сценариям.

Еще одна странность — отсутствие привычной цели. Хакеры не требуют выкуп и не заявляют политических мотивов. Под удар попадают самые разные организации: игровые проекты, хостинг-провайдеры, телеком-операторы и корпоративные сети.

По словам CEO и сооснователя StormWall Рамиля Хантимирова, происходящее больше напоминает стресс-тестирование инфраструктуры перед более серьезной кампанией.

Заодно изменилась и география ботнета. Если раньше основная активность фиксировалась из Бразилии и Индии, то теперь источники трафика обнаружены в России, США, Германии, Нидерландах, Ираке, Азербайджане, Казахстане, Мексике и ряде других стран. По оценкам аналитиков, ботнет может объединять самые разные устройства — от IoT-камер до серверов и сетевого оборудования.

В StormWall предупреждают, что нынешняя волна может быть лишь началом. Если злоумышленники доведут технологию имитации легитимного трафика до совершенства, отличить DDoS-атаку от обычных пользователей станет значительно сложнее, а эффективность традиционных методов фильтрации заметно снизится.

RSS: Новости на портале Anti-Malware.ru