Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Обороной руководит антивирус

Прочитали: 1865 Комментариев: 95 Рейтинг: 94

Microsoft критикуют много, и нельзя сказать, что компания не прислушивается к этой критике. Microsoft старается сделать свои системы более безопасными – с помощью технологий, исключающих возможность тех или иных распространенных атак злоумышленников. Например, атак на переполнение буфера.

Предположим, у нас есть программа, в которую передаются те или иные данные (параметры командной строки или информация, указываемая пользователем на сайте). Скажем, эта программа принимает на вход ваши имя и фамилию. Вполне логично, что и то и другое имеет не слишком большую длину. А раз так, то можно не вычислять каждый раз, сколько данных было передано, а зарезервировать небольшую область и записывать их туда. Однако злоумышленник может передать на вход данные, объем которых превышает зарезервированное под их прием хранилище. И если программа не проверяет, сколько данных было передано на самом деле, то после заполнения отведенного участка процедура приема продолжит запись за его пределами – перезаписывая соседние данные, а то и код.

Если же хакер сформирует передаваемые данные специальным образом, то он сможет изменить код программы полностью.

Специалист компании One Up Security Джастин Тафт (Justin Taft) обнаружил уязвимость в составе Valve Source SDK. Исследователь пишет, что уязвимость в движке Source затрагивала такие популярные игры, как Counter Strike: Global Offensive, Team Fortress 2, Left 4 dead 2, Potral 2.

Дело в том, что игры, работающие на движке Source, используют Source SDK, чтобы сторонние компании и независимые разработчики могли создавать собственные кастомные моды. К тому же файлы карт для движка Source позволяют разработчикам добавлять кастомный контент (текстуры, скины, модели трупов), который подгружается вместе с картой.

Корень проблемы лежал в обычном переполнении буфера (buffer overflow), через уязвимость можно было добиться и выполнения произвольного кода на клиентской или серверной стороне. В качестве примера эксплуатации бага Тафт приводит следующий кейс: если создать кастомую модель трупа, которая будет загружаться после смерти игрового персонажа, к этой модели можно привязать загрузку произвольного вредоносного кода. Как видно на гифке ниже, смерть игрока в TF2 влечет за собой выполнение вредоносных инструкций.

#drweb

Исследователь сообщает, что разработчики Valve устранили проблему еще в июне 2017 года, и разработчиков модов попросили обновить Steam Source SDK до актуальной версии, установив этот патч.

Пока Тафт не обнародовал proof-of-concept эксплоита, так как он хочет дать разработчикам больше времени на установку исправления. Тем не менее, через несколько недель эксплоит будет опубликован здесь.

https://xakep.ru/2017/07/21/valve-source-bug

К сожалению, несмотря на широкую известность этого типа атаки, далеко не все программы защищены от него.

Еще один вариант атаки с помощью перезаписи данных: прописать в область, отведенную под данные, нужный код и передать на него управление. В этом случае основная часть программы не изменяется.

Для защиты от этой атаки компания Microsoft разработала специальную технологию – DEP. При ее использовании места, отведенные под данные, помечаются как «неисполняемые» (NX). Если приложение попытается выполнить код из сегмента памяти с меткой NX, механизм DEP запретит это действие.

Поддержка DEP добавлена в Windows начиная с версий XP SP2, Server 2003 SP1 и 2003 R2. При этом реализаций DEP имеется две: аппаратная на уровне процессоров и программная.

Чтобы узнать, поддерживает ли ваша система аппаратную реализацию, в Панели управления откройте настройки производительности, а затем перейдите на вкладку Предотвращение выполнения данных.

#drweb

В нижней части окна настроек конфигурации службы DEP указан тип реализации данной службы.

Служба DEP поддерживает два уровня защиты:

  1. Первый уровень защищает только системный и исполняемый код ОС Windows.
  2. Второй уровень защищает весь исполняемый код в системе. Механизмы DEP применяются и к системному коду Windows, и к приложениям компании или независимых производителей.

Администраторы могут настраивать уровни защиты посредством конфигурационного экрана службы DEP.

Проверить, защищено ли то или иное приложение, можно, открыв Диспетчер задач и настроив отображение столбца Предотвращение выполнения данных.

#drweb

Победа? Неполная.

DEP не знает, кто попытался исполнить код из области данных: злоумышленник или сама программа, и автоматически реагирует на это завершением программы. Поэтому теперь киберпреступники получили возможность реализации атаки на отказ в обслуживании. Имитируя попытку исполнить код из области данных, они заставляют систему эту программу завершить.

Малоизвестный факт. Первые антивирусы содержали описания вирусов непосредственно в себе. Но рост количества вирусов привел к тому, что описания вынесли в отдельную от программы вирусную базу. А требования постоянных обновлений привели к тому, что эта база должна обновляться с перезаписью устаревших данных. Все знают, что антивирус хранит свои вирусные базы в памяти. Но как они там размещаются? Выделяется область данных, в нее записываются сигнатуры и код эвристики. И из этой области исполняется код баз данных.

Антивирусные программы относятся к небольшому числу программ, для которых разрешено исполнение кода из области данных, так как иначе они работать не могут.

#Windows #антивирус #игры #уязвимость #эксплойт

Dr.Web рекомендует

Несмотря на постоянный прогресс технологий защиты от хакерских атак, избавиться от антивируса не получается. DEP позволяет гарантировать, что программа будет работать так, как хотели ее создатели, но только антивирус позволяет не допустить атаки на программу.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: