Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Новости » MSE не подвержен атаке KHOBE
Новости

MSE не подвержен атаке KHOBE

автор: Administrator | 2 июня 2010, 19:16 | Просмотров: 5234
теги: KHOBE, антивирусная защита, Matousec, SSDT, MSE



MSE не подвержен атаке KHOBE Microsoft Security Essentials (MSE), антивирусное решение редмондской компании, является одним из программных продуктов, которые не подвержены недавно обнаруженной атаке KHOBE, с помощью которой злоумышленники могут отключить антивирусную защиту в Windows. MSE не использует SSDT-захваты, поэтому его нельзя отключить подобным способом.

Когда впервые был опубликован отчет о методе, в списке приложений, подвержен такой уязвимости, MSE не было, поэтому специалисты из Ars Technica решили обратиться в Microsoft за разъяснениями.

"Microsoft в курсе исследований Matousec и занимается изучением проблемы" - заявил представитель компании. "Отталкиваясь от доступной информации, мы можем сказать, что наш продукт не может быть отключен таким методом ввиду природы защиты MSE в реальном времени."

Параллельно они обратились к источнику и получили следующий ответ: "Да, MSE не использует захваты и поэтому не может быть атакован с помощью техники KHOBE" - подтвердил пресс-секретарь Matousec. "Читатели различных сетевых секьюрити-изданий могут быть введены в заблуждение заявлениями о том, что методу KHOBE подвержены все антивирусные продукты, но они упустили самый важный момент - уязвимы лишь те продукты, в которых реализован захват.

Лишь в некоторых продуктах реализованы захваты, однако большинство антивирусных решений их не использует. Более того, уязвимости подвержены в основном не антивирусы, а системы HIPS [Host Intrusion Prevention System - система защиты от проникновения], сетевые экраны с функциями защиты хостового компьютера."

"Microsoft обратилась к Matousec и представители компании подтвердили, что Microsoft Security Essentials и продукты семейства Forefront Client Security не подвержены технике KHOBE по причине дизайна системы защиты в реальном времени" - сообщил нам пресс-секретарь Microsoft.

Microsoft очень давно призывает разработчиков секьюрити-решений отказаться от использования патчей ядра, поэтому было бы глупо, если бы Microsoft использовала их в собственном продукте. Более того, техники самозащиты, реализуемые с помощью захватов, вообще не используются в продуктах компании. Следует отметить, что Microsoft прислушалась к вендорам и реализовала в Windows Vista и Windows 7 несколько документированных методов с целью позволить обеспечить механизмы самозащиты. К сожалению, нет ничего, что могло бы заставить разработчиков отказаться от старых методов в пользу новых, тем более, что старые методы работают и в новых версиях Windows.

И именно по этой причине список уязвимых продуктов такой большой. Matousec регулярно обновляет список и на момент публикации статьи в нем было 35 уязвимых продуктов. Еще одна победа для MSE, который получает исключительно положительные отзывы с момента своего релиза.

Хочу подчеркнуть, что Microsoft Security Essentials не единственный антивирус который не уязвим к атаке KHOBE, он лишь один из тех программных продуктов который не использует SSDT-захваты и самое главное, большинство антивирусных решений их не использует.




источник:
thevista.ru
@ Гуляющий_во_Тьме
2 июня 2010, 19:39 | |  
Аватар пользователя Гуляющий_во_Тьме
карма: +108.02
комментариев: 15
новостей: 0
группа: Посетители
хм! а можно более полный список? уж очень интересно!
@ Administrator
2 июня 2010, 20:18 | |  
Аватар пользователя Administrator
карма: +4677.676
комментариев: 239
новостей: 1005
группа: SysOp
@Гуляющий_во_Тьме,
К сожалению, создать полный список — это крайне долгий процесс, так как нужно найти все антивирусные программы которые не используют SSDT-захваты. Но как уже сказано в посте 'уязвимости подвержены в основном не антивирусы, а системы HIPS, сетевые экраны с функциями защиты хостового компьютера.'

На форуме forum.online-solutions.ru, нашёл комментарий одного из разработчиков OSSS, который 'рассказывает' об атаке KHOBE:
«Данная идея не принадлежит David Matousec, про эту же методику еще очень давно (5 лет или более назад) писали статьи исследователи под *nix-системы. Так как данная проблема "абстрактная" (теоретическая, фундаментальная). То есть для ее реализации не принципиальна платформа и архитектура при определенных условиях.

К сожалению, найти прямо сейчас примеры этих статей не могу, но постараюсь это сделать в будущем.

Что касается реализации на практике. Конкретно наш продукт мы не тестировали по этому направлению, но чисто теоретически он уязвим при использовании такой методики. Более того, мы даже придумали одну схему, при которой это можно реализовать (не только в нашем продукте, но и в других) не "с определенной вероятностью", а с вероятностью 100%.

В большей степени подвержены риску многоядерные системы (там больше вероятность переключения исполнения в момент перед передачей управления исходной функции). Но в целом, как и написано у David, при умелом игрании приоритетами потоков, можно этого же эффекта достичь и на одноядерных и распространенных системах.

Противодействие этому существует, но его реализация приведет к значительному замедлению функционирования ОС (некоторых возможностей, которые будут контролироваться). Мы проработали несколько возможных вариантов решения проблемы, которые включают:

# общее решение "для всех" (не понижает значительно быстродействие, но решает только часть изложенных проблем - конкретно с подменой строк, то есть это касается загрузки драйверов и любых других объектов, в проверке которых участвуют строки)

# включаемое как дополнительная опция, при "желании", решение для "полной защиты" (в этом случае производительность некоторых функций будет понижена, но при этом полностью будет обеспечена защита от такого рода атак)

# еще одно исследуюемое решение (до конца не проработано), которое решает вопрос в общем случае, но с определенной степенью вероятности (то есть: значительно понижает шансы злоумышленника на успех, тем самым, делая указанную выше атаку бессмысленной или крайне маловероятной; при этом не страдает производительность функций ОС).


В ближайшей бета-версии (v1.6) введение данной защиты не планируется (и, вероятно, в v1.7 тоже - но про это точно сказать не могу в данный момент). Это связано с тем, что на ближайшие итерации уже есть намеченные планы (это и работа с SCM, и работа над x64-версией, и доработка онлайн-сервиса). Ситуация может измениться при изменении внешних обстоятельств.

Проведение данной атаки сопряжено с предварительными действиями иного характера, которые контролируются OSSS. Поэтому практическое (а не академическое) ее применение крайне затруднено в реальной жизни. В связи с этим, на данный момент я бы не "пугал" пользователей, что "все пропало, защиты нет".

Плюс к этому, практическая реализация не опубликована, и в данный момент не существует вредоносных программ, использующих данную технику. (На практике это может измениться в обозримом будущем, но по опыту, обычно технологии используются не сразу - например, тот же bootkit был опубликован в исходниках очень давно, как PoC, а стал использоваться в реальных вредоносных программах [те же исходники] через 1-2 года; плюс см. первый абзац о том, что информация находится на самом деле в public domain не менее 5 лет, просто, возможно, с чуть меньшим вниманием и конкретизацией "списком продуктов").

Публикация этой информации полезна для развития индустрии, но не должна вызывать паники или близких к этому состояний.»
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.