Avira, ESET и Kaspersky устранили в своих антивирусах 10-летний баг

Avira, ESET и Kaspersky устранили в своих антивирусах 10-летний баг

Четыре антивирусных вендора — Avira, Bitdefender, ESET и «Лаборатория Касперского» — выпустили патчи, устраняющие определённый баг. Примечательно, что эта проблема была описана экспертами в области кибербезопасности ещё 10 лет назад.

В 2009 году исследователь Тьери Золлер сообщил о баге, который позволял атакующим создавать специальные архивы, доступные пользователю, но недосягаемые для антивирусных движков.

Как объяснил тогда Золлер, уязвимость не была связана с конкретным форматом архивов. Причина бага крылась в возможности изменить архив таким образом, что антивирусы просто не могли его просканировать. Воспользоваться этой брешь можно было с помощью следующих форматов сжатия: ISO, ZIP и Bz2.

Поскольку всегда можно было извлечь содержимое архива и просканировать его, баг не представлял особой угрозы для конечного пользователя. Однако совсем иначе дело обстояло с email-шлюзами и инфраструктурой антивирусов — затруднения при автоматической распаковке и сканировании вызывали определённые проблемы.

Спустя десять лет Золлер повторно обратил внимание на баг, отметив, что некоторые антивирусные компании проигнорировали его сообщения. А в ноябре 2019 года злоумышленники начали использовать данную проблему для распространения вредоносных программ через электронную почту.

Помимо прочих вендоров, баг затрагивал продукты Avira, Bitdefender, ESET и «Лаборатории Касперского». Золлер направил компаниям соответствующие уведомления в октябре прошлого года, предоставив PoC-код.

ESET устранил недостаток в следующих продуктах: Smart Security Premium, Internet Security, NOD32 Antivirus, Cyber Security Pro (macOS), Cyber Security (macOS), Mobile Security для Android, Smart TV Security и NOD32 Antivirus 4 для Linux Desktop.

«Лаборатория Касперского» порадовала выпуском патча для Kaspersky Secure Connection 4.0 (2020), Internet Security 2020, Total Security 2020 и Security Cloud 2020.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Угон учетной записи Microsoft принес исследователю $50 000

Независимый исследователь Лаксман Мутхиях (Laxman Muthiyah) обнаружил в онлайн-сервисах Microsoft уязвимость, позволяющую сбросить пароль пользователя в обход аутентификации и захватить контроль над аккаунтом. Разработчик высоко оценил эту находку, выдав баг-хантеру премию в $50 тысяч в рамках своей программы bug bounty.

Найденная проблема затрагивает процедуру восстановления учетной записи, включающую отправку семизначного одноразового кода на email или номер мобильного телефона пользователя, который тот должен ввести на сервисе для подтверждения своих полномочий на смену пароля. Мутхияху удалось угадать нужную комбинацию посредством брутфорса, преодолев используемое Microsoft шифрование и лимиты на количество подаваемых запросов.

 

Суммарно исследователю предстояло перебрать 10 млн возможных вариантов одноразового кода, то есть подать на сервер Microsoft огромное количество запросов. С этой целью Мутхиях написал скрипт, способный автоматизировать этот процесс.

Его тестирование показало наличие на сервисе защитных ограничений: из 1000 отправленных кодов сервер принял только 122, остальные вернули ошибку 1211 (ошибка очистки буфера). Поняв, что при последовательной передаче множества запросов включаются черные списки (блокировка IP-адреса), экспериментатор попробовал подавать запросы одновременно с тысячи разных IP. Как оказалось, сервер должен их получать без малейшей задержки — разница в пару миллисекунд уже вызывала блокировку атаки.

Скорректировав свой код, Мутхиях смог добиться успеха и благополучно сменить пароль. Этот способ, по его словам, очень ресурсоемкий и пригоден только для взлома аккаунтов с отключенной двухфакторной аутентификацией (2FA). Если жертва ее использует, то придется дополнительно ломать шестизначный код, генерируемый специальным приложением-аутентификатором.

Специалисты Microsoft классифицировали проблему как возможность повышения привилегий с обходом многофакторной аутентификации. Поскольку провести брутфорс в данном случае сложно, степень опасности уязвимости была оценена как существенная. Соответствующий патч вышел в ноябре прошлого года.

Похожую уязвимость Мутхиях обнаружил в прошлом году в Instagram, заработав $30 тыс. в качестве вознаграждения от Facebook.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru