Компания Malwarebytes работает над исправлением серьезных уязвимостей в своем антивирусном продукте. Ошибки обнаружилэксперт из команды Google Project Zero Тэвис Орманди.
Исследователю безопасности удалось выяснить, что обновления продукта Malwarebytes Antivirus не были подписаны с помощью цифровой подписи компании и загружались по незащищенному HTTP-соединению. Все это делает пользователей антивируса подверженным атаке типа Man-In-The-Middle — злоумышленники могли легко подменить пакеты обновлений,
Уязвимости были обнаружены в ноябре 2015 года. Однако сотрудникам Malwarebytes не хватило 90 дней для того, чтобы исправить дыры безопасности в своем продукте, поэтому исследователь Google Тэвис Орманди (Tavis Ormandy) опубликовал информацию о них в своем блоге.
По его словам, процесс обновления антивируса Malwarebytes включает загрузку YAML-файлов. Несмотря на то, что эти файлы содержат контрольную сумму MD5, их передача с помощью незащищенного HTTP-соединения позволяет атакующему легко осуществить подмену файлов.
Орманди предполагает, что разработчики антивируса были уверены в том, что злоумышленникам все равно не удастся перехватить данные, поскольку они зашифрованы с помощью зашитого в коде ключа RC4. Однако, удалось сделать это с помощью простой команды OpenSSL.
Также Орманди обнаружил некорректно составленные контрольные списки (ACL) антивируса — это позволяет осуществить повышение привилегий. По умолчанию, всем пользователям антивируса разрешается модифицировать и создавать файлы в директории, где хранится конфигурация Malwarebytes Antivirus. Это дает злоумышленникам возможность проведения атак, связанных с удаленным исполнением кода на машине жертвы.
Руководитель Malwarebytes Марчин Клещински (Marcin Kleczynski) подтвердил информацию об обнаружении уязвимостей и сообщил, что компания столкнулась со сложностями, которые не позволили исправить их в 90-дневный срок. По словам топ-менеджера, компания смогла исправить несколько из обнаруженных ошибок на стороне сервера и теперь занимается внутренним тестированием новой версии антивируса. Кроме того, Клещински заявил, что по его данным, с помощью обнаруженных Орманди уязвимостей злоумышленники не могут проводить массовые атаки на пользователей Malwerabytes Antivirus. У них есть возможность лишь «атаковать одну машину за один раз».
За последний год это уже не первый случай обнаружения серьезных уязвимостей в защитном программном обеспечении и атак на антивирусные компании. В июне 2015 года в СМИ попала информация о том, что британские и американские спецслужбы искалиуязвимости продуктах «Лаборатории Касперского». Примерно в то же время исследователи из Google Project Zero рассказали о серьезной уязвимости в антивирусе ESET NOD32, которая позволяла атакующему читать, модифицировать и удалять любые файлы на компьютерах, на которых установлен антивирус.
Летом того же года стало известно о том, что в продукте Symantec Endpoint Protection обнаружен целый ряд серьезных уязвимостей, которые позволяли атакующим осуществлять обход аутентификации, повышения привилегий, чтение и запись файлов, а также осуществления SQL-инъекций. Кроме того, практически одновременно с этим было объявлено о том, что антивирусная компания BitDefendet стала жертвой хакерской атаки, в результате которой были похищены пароли пользователей — особый резонанс вызвал тот факт, что они хранились в открытом виде.
Позднее осенью 2015 года серьезные ошибки безопасности были обнаружены в криптософте TrueCrypt, а еще спустя несколько месяцев, в декабре того же года критические уязвимости были также найдены в антивирусе Avast.
Кроме того, осенью прошлого года исследователь безопасности Мазин Ахмед опубликовал исследование, в ходе которого ему удалось обнаружить XSS-уязвимости сразу в нескольких популярных межсетевых экранах. Мы провелили самообучающийся межсетевой экран PT Application Firewall на подверженность описанным в работе обходам защиты — все представленные способы обхода были заблокированы экраном.
Исследователи из Wiz обнаружили критическую уязвимость в GitHub, которая позволяла выполнить код на серверной инфраструктуре платформы через обычную команду git push. Проблема получила идентификатор CVE-2026-3854 и затрагивала GitHub[.]com, корпоративный сервер GitHub и несколько облачных корпоративных версий GitHub.
Суть уязвимости была в ошибке обработки пользовательских параметров при git push.
Атакующему достаточно было иметь доступ на запись хотя бы в один репозиторий, в том числе созданный им самим, чтобы попытаться выполнить произвольные команды на сервере.
Для GitHub Enterprise Server это могло означать полную компрометацию сервера и доступ ко всем репозиториям и внутренним секретам. На GitHub.com риск был ещё больше: из-за общей бэкенд-инфраструктуры злоумышленник теоретически мог получить доступ к миллионам публичных и закрытых репозиториев, расположенных на затронутых узлах.
GitHub быстро закрыл проблему. Патч для GitHub.com развернули 4 марта, а для в GitHub Enterprise Server дыру закрыли 10 марта. По итогам внутреннего расследования корпорация заявила, что признаков эксплуатации уязвимости в реальных атаках не обнаружено.
Однако для корпоративных пользователей риск всё ещё актуален, если они не обновили свои инсталляции GitHub Enterprise Server. По данным Wiz, на момент публикации значительная часть таких серверов всё ещё оставалась без патча. Поэтому администраторам стоит как можно быстрее перейти на обновлённые версии.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
