Обнаружена возможность подмены трафика обновления Dr.Web

23/04/2014 00:44

На блог-сервисе Хабрахабр опубликована статья, подробно рассказывающая о проблемах протокола обновления в антивирусе "Доктор Веб" - в случае перехвата трафика, становится возможным подмена компонентов антивируса и выполнение произвольного кода. Информацию об уязвимости впервые опубликована в материалах конференции SyScan2014 в презентации Breaking Antivirus Software (Joxean Koret). По мнению автора статьи, уязвимость до сих пор остается открыта, несмотря на множеством сертификатов (ФСТЭК, ФСБ, Минобороны РФ) у уязвимого Dr.Web версии 6.0. В ходе эксперимента все настройки антивируса выставлены по-умолчанию, встроенная защита не отключалась. В качестве операционной системы используется Windows 7. Для эксплуатации уязвимости необходимо, чтобы атакующий имел возможность перенаправления трафика пользователя (например, вследствие подмены DNS-сервера, отравления ARP-кэша или как-то еще, не исключая физический доступ к каналу связи). Для простоты эксперимента, в тестовой среде компьютеры клиента и злоумышленника находятся в одной сети. Для скачивания обновлений со своих серверов, Dr.Web использует HTTP-протокол, т.е. данные передаются в открытом виде. После процедуры скачивания файлов, происходит замена старых файлов антивируса. При этом дополнительных проверок не производится. Например, Dr.Web без проблем принял троян-загрузчик вместо родного "drwebupw.exe". После его загрузки "Доктор Веб" выполнил инфицированный объект, предоставив полный контроль атакующему.
Подробности