Digital Security обнаружили критичные уязвимости в антивирусных продуктах

Исследователи компании Digital Security, обнаружили ряд уязвимостей в популярных продуктах для антивирусной защиты с технологией аппаратной виртуализации. Было проанализировано три таких решения: McAfee DeepDefender, Avast DeepScreen, Kaspersky Internet Security 15.

Эти антивирусные продукты были выбраны потому, что на момент проведения исследования только в них использовалась данная технология. Основным преимуществом использования аппаратной виртуализации считается возможность работы на более низком уровне, чем само ядро операционной системы. Это позволяет антивирусному ПО прозрачно контролировать все, что происходит в ОС. Основной целью проведенного недавно исследования было выяснить, насколько применение технологии аппаратной виртуализации способствует повышению уровня безопасности.

Все три продукта используют технологию hardware assisted (VT-x, AMD-V) аппаратной виртуализации. В ходе анализа этих решений исследователи сфокусировались на возможностях реализации различных сценариев атак, эксплуатации архитектурных уязвимостей, их причинах и следствиях. Экспертами Digital Security в перечисленных продуктах были найдены различные проблемы, от «побега» из sandbox до возможности полного отключения антивирусного продукта.

В частности, используя некоторые уязвимости и цепочки уязвимостей, возможно реализовать атаки на отказ в обслуживании, обход механизмов самозащиты (в ситуации, когда антивирусное обеспечение не детектирует вредоносную активность, хотя она производится). Кроме того, исследователи определили возможность злонамеренного использования ресурсов антивирусной программы, показав, как вредоносный код может существовать в sandbox продукта и при этом производить различную активность, в том числе: майнить биткоины, производить DoS-атаки на удаленные узлы. Также существующие уязвимости позволяют осуществлять «побег» из sandbox, а именно: через различные «дыры» и недочеты в архитектуре malware может выйти из ограниченного окружения и «вырваться» в основную ОС. И, наконец, экспертам Digital Security через использование проблем в защите трех указанных продуктов удалось осуществить полное отключение антивирусного ПО в отдельных случаях.

Полученные результаты исследования наглядно демонстрируют, что технологию аппаратной виртуализации часто используют некорректно и не по назначению, и это приводит к печальным последствиям. "Наша исследовательская команда старается быть всегда на острие атаки, а потому технологии аппаратной виртуализации, конечно, вызывают у нас большой интерес. Мы провели серьезную работу, показав, что неправильное, некорректное использование виртуализации может привести к снижению уровня безопасности," – прокомментировал результаты исследования директор исследовательского центра Digital Security Дмитрий Евдокимов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

АПРОТЕХ представила решение для обработки данных на базе KasperskyOS

НПО «Адаптивные Промышленные Технологии» (АПРОТЕХ) — дочернее предприятие «Лаборатории Касперского» и ИТЭЛМА — разработало программно-аппаратный комплекс IKS1000GP, который предназначен для сбора и обработки «сырых» промышленных данных (шлюз промышленного интернета вещей — IIoT GateWay). Это решение создано на базе KasperskyOS и оборудования компании «Сименс». Оно имеет большой экспортный потенциал, ведь сквозные цифровые сервисы, основанные на доверенных промышленных данных и построенные на открытой облачной платформе, — это принципиально новое явление как для России, так и для международных рынков.

Разработанный программно-аппаратный комплекс получает информацию от промышленного оборудования, включая станки, конвейеры, двигатели и турбины. Далее он в режиме реального времени агрегирует потоки данных и подготавливает их к использованию платформами промышленного интернета вещей (IIoT). Важное преимущество применения шлюза — возможность безопасно передавать промышленные данные на удалённую площадку предприятия. Таким образом, сводятся к минимуму действия человека в производственном контуре, а экспертная оценка данных (интерпретация сложных событий, выявление скрытых закономерностей и аномалий и так далее) может проводиться в онлайн-режиме небольшой группой специалистов или с помощью технологий машинного обучения.

При использовании шлюза предполагаются два основных способа хранения и обработки данных. В первом случае программно-аппаратный комплекс передаёт информацию в облако, которое находится в центре обработки данных компании «Сименс». Во втором — заказчик может создать собственное частное облако, в таком случае информация точно не будет передаваться за периметр предприятия.

Первая версия шлюза IKS1000GP создана на коммерчески доступной аппаратной платформе SIMATIC IoT2040 компании «Сименс», на которую была портирована KasperskyOS. На базе этой операционной системы разработчики дочернего предприятия «Лаборатории Касперского» и ИТЭЛМА сделали пять различных программных компонентов, отвечающих за взаимодействие с облачной платформой промышленного интернета, принимающих данные от оборудования и использующихся для конфигурирования и управления. Использование шлюза IKS1000GP позволяет строить сквозные информационные сервисы, связывающие уровень производственного оборудования с процессами управления операционной эффективностью производства — и тем самым раскрывать экономический потенциал промышленных данных.

НПО «Адаптивные промышленные технологии» и группа ЧТПЗ участвуют в совместном инновационном проекте по применению технологий промышленного интернета вещей в области цифровой трансформации и прослеживаемости работы предприятия. Основная задача проекта связана с прямым подключением к промышленному оборудованию с целью сбора, накопления и анализа получаемых данных и оценки на их базе ключевых производственных показателей в динамике. В рамках пилотного проекта разработан сквозной цифровой сервис на облачной платформе Siemens MindSphere, а безопасность подключаемого оборудования, а также доверенность передаваемых данных обеспечивают шлюзы IKS1000GP.

«Группа ЧТПЗ первой из промышленных компаний пилотировала данное решение, и в случае успешных доработок компания рассматривает возможность его применения на площадках «ЧТПЗ. Трубный сервис» — это новое бизнес-направление компании по предоставлению клиентам комплексных услуг по производству и обслуживанию насосно-компрессорных труб. Решение АПРОТЕХ IKS1000GP позволяет оперативно собирать и передавать данные о производстве и ремонте трубной продукции, что позволит снизить стоимость эксплуатации систем и повысить операционную эффективность производства. Использование подобных решений отвечает принципам программы клиентоцентричной трансформации Группы ЧТПЗ на базе цифровых технологий, запущенной в 2018 году», — комментирует директор по информационным технологиям Группы ЧТПЗ Рустам Абдрахманов.

Андрей Суворов, руководитель научно-производственного объединения «Адаптивные промышленные технологии» («Апротех»), ещё в 2018 году рассказал читателям Anti-Malware.ru об этом решении. Тогда оно было прототипом.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru