Обороной руководит антивирус

Уязвимые

добавить в избранное

Обороной руководит антивирус

Прочитали: 9665 Комментариев: 56 Рейтинг: 111

17 августа 2017

Microsoft критикуют много, и нельзя сказать, что компания не прислушивается к этой критике. Microsoft старается сделать свои системы более безопасными – с помощью технологий, исключающих возможность тех или иных распространенных атак злоумышленников. Например, атак на переполнение буфера.

Предположим, у нас есть программа, в которую передаются те или иные данные (параметры командной строки или информация, указываемая пользователем на сайте). Скажем, эта программа принимает на вход ваши имя и фамилию. Вполне логично, что и то и другое имеет не слишком большую длину. А раз так, то можно не вычислять каждый раз, сколько данных было передано, а зарезервировать небольшую область и записывать их туда. Однако злоумышленник может передать на вход данные, объем которых превышает зарезервированное под их прием хранилище. И если программа не проверяет, сколько данных было передано на самом деле, то после заполнения отведенного участка процедура приема продолжит запись за его пределами – перезаписывая соседние данные, а то и код.

Если же хакер сформирует передаваемые данные специальным образом, то он сможет изменить код программы полностью.

Специалист компании One Up Security Джастин Тафт (Justin Taft) обнаружил уязвимость в составе Valve Source SDK. Исследователь пишет, что уязвимость в движке Source затрагивала такие популярные игры, как Counter Strike: Global Offensive, Team Fortress 2, Left 4 dead 2, Potral 2.

Дело в том, что игры, работающие на движке Source, используют Source SDK, чтобы сторонние компании и независимые разработчики могли создавать собственные кастомные моды. К тому же файлы карт для движка Source позволяют разработчикам добавлять кастомный контент (текстуры, скины, модели трупов), который подгружается вместе с картой.

Корень проблемы лежал в обычном переполнении буфера (buffer overflow), через уязвимость можно было добиться и выполнения произвольного кода на клиентской или серверной стороне. В качестве примера эксплуатации бага Тафт приводит следующий кейс: если создать кастомую модель трупа, которая будет загружаться после смерти игрового персонажа, к этой модели можно привязать загрузку произвольного вредоносного кода. Как видно на гифке ниже, смерть игрока в TF2 влечет за собой выполнение вредоносных инструкций.

Исследователь сообщает, что разработчики Valve устранили проблему еще в июне 2017 года, и разработчиков модов попросили обновить Steam Source SDK до актуальной версии, установив этот патч.

Пока Тафт не обнародовал proof-of-concept эксплоита, так как он хочет дать разработчикам больше времени на установку исправления. Тем не менее, через несколько недель эксплоит будет опубликован здесь.

https://xakep.ru/2017/07/21/valve-source-bug

К сожалению, несмотря на широкую известность этого типа атаки, далеко не все программы защищены от него.

Еще один вариант атаки с помощью перезаписи данных: прописать в область, отведенную под данные, нужный код и передать на него управление. В этом случае основная часть программы не изменяется.

Для защиты от этой атаки компания Microsoft разработала специальную технологию – DEP. При ее использовании места, отведенные под данные, помечаются как «неисполняемые» (NX). Если приложение попытается выполнить код из сегмента памяти с меткой NX, механизм DEP запретит это действие.

Поддержка DEP добавлена в Windows начиная с версий XP SP2, Server 2003 SP1 и 2003 R2. При этом реализаций DEP имеется две: аппаратная на уровне процессоров и программная.

Чтобы узнать, поддерживает ли ваша система аппаратную реализацию, в Панели управления откройте настройки производительности, а затем перейдите на вкладку Предотвращение выполнения данных.

В нижней части окна настроек конфигурации службы DEP указан тип реализации данной службы.

Служба DEP поддерживает два уровня защиты:

Первый уровень защищает только системный и исполняемый код ОС Windows.
Второй уровень защищает весь исполняемый код в системе. Механизмы DEP применяются и к системному коду Windows, и к приложениям компании или независимых производителей.

Администраторы могут настраивать уровни защиты посредством конфигурационного экрана службы DEP.

Проверить, защищено ли то или иное приложение, можно, открыв Диспетчер задач и настроив отображение столбца Предотвращение выполнения данных.

Победа? Неполная.

DEP не знает, кто попытался исполнить код из области данных: злоумышленник или сама программа, и автоматически реагирует на это завершением программы. Поэтому теперь киберпреступники получили возможность реализации атаки на отказ в обслуживании. Имитируя попытку исполнить код из области данных, они заставляют систему эту программу завершить.

Малоизвестный факт. Первые антивирусы содержали описания вирусов непосредственно в себе. Но рост количества вирусов привел к тому, что описания вынесли в отдельную от программы вирусную базу. А требования постоянных обновлений привели к тому, что эта база должна обновляться с перезаписью устаревших данных. Все знают, что антивирус хранит свои вирусные базы в памяти. Но как они там размещаются? Выделяется область данных, в нее записываются сигнатуры и код эвристики. И из этой области исполняется код баз данных.

Антивирусные программы относятся к небольшому числу программ, для которых разрешено исполнение кода из области данных, так как иначе они работать не могут.

#Windows #антивирус #игры #уязвимость #эксплойт

Антивирусная правДА! рекомендует

Несмотря на постоянный прогресс технологий защиты от хакерских атак, избавиться от антивируса не получается. DEP позволяет гарантировать, что программа будет работать так, как хотели ее создатели, но только антивирус позволяет не допустить атаки на программу.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Toma
19:37:58 2018-12-04

Избавиться от антивируса не получается в обозримом будущем, это точно.

Денисенко Павел Андреевич
21:42:38 2018-08-05

Dr.Web вирусоустойчивый антивирус, его можно устанавливать даже уже на зараженый ПК.

Неуёмный Обыватель Собкор
08:38:39 2018-06-28

Ближайшее десятилетие не собираемся избавляться от антивируса.

vasvet
19:12:15 2018-04-08

Во круто, я сейчас так настроил и один процесс не защищен, я его завершил.

Пaвeл Собкор
16:16:26 2017-08-29

Вооруженные силы РФ полностью перешли на отечественные IT-разработки
Подробнее: http://www.securitylab.ru/news/488118.php
Надеюсь немалая доля этих разработок принадлежит компании Dr.Web !?

Littlefish Собкор
17:08:38 2017-08-21

@Родриго, не за что :-)

Родриго
15:50:13 2017-08-21

@Littlefish, благодарю!

Littlefish Собкор
08:03:35 2017-08-21

@Родриго, @orw_mikle, нажмите на значок поиска (значок лупы рядом с копкой пуск) и напишите без кавычек "произв"
Вам выплывет - Настройка представления и производительности системы, кликаете на это, и в открывшемся окне нажимаете на вкладку Предотвращение выполнения данных.

сергей
18:30:18 2017-08-20

уникально и серьезно !!!!!!!!!!

alexandr
14:25:53 2017-08-20

@alexandr, в строю

alexandr
14:24:48 2017-08-20

Dr.Web в срою и он победит!

Родриго
18:01:48 2017-08-19

@Littlefish, Windows 10

Вячeслaв Собкор
13:06:39 2017-08-18

@Littlefish, включить можно, но нужно быть готовым, что не все программы могут вы этом режиме работать. Если возникнут проблемы - для них нужно сделать инсключение

Вячeслaв Собкор
13:03:56 2017-08-18

@orw_mikle, @Andromeda, @Альфа, @Dvakota, @Karpensky, @Родриго, статей по настройке данной технологии достаточно много. Например - (для Windows XP) http://www.pc-problems.ru/win_xp/secrets_of_work/167, (для семерки) http://vizivik.ru/set-dep-win-7.
Честно скажем, что найти эту функцию не просто, доступ к ней не слишком логичен. И еще. Не все программы могут корректно работать в режиме DEP. Поэтому если вы включили этот режим для каких либо программ - мы рекомендуем некоторое время не работать с критическими данными, понаблюдать за работой программ

Вячeслaв Собкор
12:55:42 2017-08-18

@Марина, возможно и так, все же для игры это маловероятно. Тем более для современных игр. Из того, что приходит на ум - исполнять данные из области данных могут активно обновляющиеся системы типа антивирусов. И возможно, но вряд ли - различные инсталляторы, запускающие скрипты для настройки системы

Марина
22:55:41 2017-08-17

Это если игра или программа закрывается с ошибкой, то, возможно, ее закрыл этот DEP?

Marsn77
21:54:53 2017-08-17

Антивирусы еще долго будут в строю

dyadya_Sasha Собкор
21:23:43 2017-08-17

@Шалтай_Александр_Болтай, "...Microsoft старается, хакеры стараются, создатели антивируса тоже стараются. Эх, почему я не такой старательный?..."
Не переживай, не все старатели на жилу попадают)).

aleks_ku
21:03:40 2017-08-17

Далеко до победы!

orw_mikle
20:40:30 2017-08-17

Сложно написано, так и не нашел этот DEP.

В...а
20:35:28 2017-08-17

Все знают, что антивирус хранит :)

Andromeda
20:32:19 2017-08-17

Не всё понятно.

Альфа
20:16:46 2017-08-17

Сложновато.

vla_va
20:05:22 2017-08-17

только антивирус!

Dvakota
20:01:22 2017-08-17

Однако сложно , не все понял !

НинаК
19:22:14 2017-08-17

серьезный труд

Шалтай Александр Болтай Собкор
19:11:36 2017-08-17

Microsoft старается, хакеры стараются, создатели антивируса тоже стараются. Эх, почему я не такой старательный?

ek
18:57:46 2017-08-17

Раздолье для злодеев

maestro431
18:26:31 2017-08-17

Антивирус нужен!

kva-kva
18:02:26 2017-08-17

Пусть сообща!

mk.insta
17:33:30 2017-08-17

видно, что постоянное сражение за ресурсы

kozinka.ru Собкор
17:26:07 2017-08-17

Чёт совсем глубоко. Я пас. Жду следующего выпуска.

Mehatronik
17:14:25 2017-08-17

Интересная статья. Спасибо)

Littlefish Собкор
13:53:04 2017-08-17

@Родриго, а какая у Вас ОС?

Родриго
12:46:25 2017-08-17

эх, так и не нашёл настройки эти :(

AxooxA
11:36:51 2017-08-17

Приятно читать статьи от специалиста, а не от пропагандиста.

Alexander Собкор
11:34:47 2017-08-17

Оборона более эффективна, когда силы участников скоординированы. Желание Microsoft сделать свою систему защищенной и самодостаточной вполне логично и объяснимо. К числу разнообразных собственных защитников системы относится и служба DEP (Data Execution Prevention). Необходима ли она?, - да; достаточна ли?, - нет. Это как раз один из тех случаев, когда чем больше - тем лучше (при условии умножения и дополнения усилий каждого работой остальных). Кто главный?, - вопрос чисто организационный, хотя в его решение вмешиваются разные "решатели" (даже антимонопольная служба). Внешние прикладные программы - это всегда надстройка к базе, т.е. к системе.
Проверил свой ноутбук, - система поддерживает аппаратную реализацию DEP. Но как настраивать уровни защиты посредством конфигурационного экрана службы DEP, - не разобрался. На скриншоте в статье видны два процесса, для которых в столбце "Предотвращение выполнения данных" ничего не написано. На моем ноутбуке для служб System, Системные прерывания, Бездействие системы - тоже пусто. Что это означает? А для программы URL-Album указано, что DEP отключен. Включить не получилось.
Успокоила уверенность, что установленный Dr.Web Security Space защитит "в случае чего".
Правильно написано в статье, DEP - гарантирует, а Dr.Web - не допускает. А это, как говорится, - "две большие разницы". Спасибо за информацию.

a13x Собкор
11:33:24 2017-08-17

Антивирусная защита сторонняя нужна, это хорошее дело :) но главное и качество этой защиты.

PITONMAN
11:29:07 2017-08-17

Да, вот откуда не ждали

dyadya_Sasha Собкор
11:18:33 2017-08-17

@Sasha50, "...Как они ошибаются! Но доказать это не всегда удается..."
Если доказать не удается, значит и ошибаются не все из многих.)) А из тех многих, у которых лицензионое ПО, которое постоянно своевременно обновляется ошибаются ещё меньше. Не всем крутая защита нужна. Кому терять нечего и базовой защиты достаточно.

Влад
10:58:53 2017-08-17

ознакомился.

Sasha50 Собкор
09:25:52 2017-08-17

Microsoft, конечно постоянно старается создать собственную защиту от "зловредов" и многие пользователи думают, что хватит этих средств для защиты. Как они ошибаются! Но доказать это не всегда удается.

Natalya_2017
09:21:01 2017-08-17

Спасибо! Есть над чем подумать.

duduka
09:07:27 2017-08-17

каждый принимает решение сам, но спасибо что поясняете и даете почву для размышлений

Littlefish Собкор
09:01:48 2017-08-17

@admin, подскажите пожалуйста, учитывая возможность реализации атаки на отказ в обслуживании используя DEP, стоит ли включать DEP для всех программ и служб или лучше оставить стандартную настройку: включить DEP только для основных программ и служб Windows? Разумеется при работающем Dr.Web Security Space.

Littlefish Собкор
08:55:24 2017-08-17

"Пока Джастин Тафт не обнародовал proof-of-concept эксплоита, так как он хочет дать разработчикам больше времени на установку исправления"
Порядочный человек, вначале дал времени разработчикам исправить уязвимость, а не опубликовал сразу же как только выявил эту уязвимость.

Littlefish Собкор
08:52:03 2017-08-17

Хороший выпуск. Особенно полезно будет почитать тем, кому нравятся встроенные системы защиты и кто на них очень полагается.

ka_s
08:15:10 2017-08-17

Везде и только с антивирусом!

user
07:42:54 2017-08-17

Вот я сижу, читаю статью и чувствую как уязвима моя система и как тихо тихо шуршит антивирус, затаившись в своём паучьем логове.

GREII Собкор
07:41:13 2017-08-17

спасибо за защиту

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Обороной руководит антивирус

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей