neprihlásený Streda, 25. novembra 2020, dnes má meniny Katarína
Pozor, antivírusy Esetu otvárali PC útočníkom. Overte si zabezpečenie

Značky: antivírusyEset

DSL.sk, 25.6.2015


Antivírusové produkty spoločnosti Eset kvôli kritickej chybe až do jej tohtotýždňového opravenia namiesto zvyšovania celkovej ochrany počítačov otvárali útočníkom veľmi jednoduchú cestu ako kompletne ovládnuť tieto PC.

Upozornil na to bezpečnostný expert Tavis Ormandy z Google, ktorý chybu identifikoval a zároveň demonštroval jej zneužitie.

Chyba

Antivírusové a bezpečnostné produkty s cieľom detekovať škodlivý kód pri preverovaní kódu a zisťovaní jeho správania používajú aj jeho emuláciu, ktorá simuluje správanie kódu, antivírusom umožňuje odhaliť napríklad škodlivý kód po rozbalení alebo dešifrovaní samorozbaľovacieho kódu a to bez umožnenia škodlivej činnosti kódu.

Chyba objavená Ormandym sa vyskytovala práve pri takejto emulácii kódu v produktoch Esetu. Podľa jeho detailného popisu nebola v samotnom emulátore ale zrejme len v jednej dynamickej signatúre využívajúcej emulátor na zisťovanie špecifického správania škodlivého kódu.

Táto signatúra po detekovaní spustiteľného kódu v preverovaných dátach spustila v emulácii 80 tisíc cyklov kódu a analyzovala stav vlastnej vytvorenej kópie zásobníka. Bola v nej ale bezpečnostná chyba v podobe absentujúcej kontroly pri priamej aritmetickej zmene obsahu registra ESP ukazujúceho na pozíciu v zásobníku, vďaka ktorej emulovaný kód dokáže prepísať dáta na skutočnom zásobníku.


Demonštrácia zneužitia chyby na OS X (video: Tavis Ormandy)



To v konečnom dôsledku umožnilo útočníkom spustiť na počítači s antivírusovou ochranou Esetu nimi zvolený kód, ktorý kvôli vysokým oprávneniam skenovacieho procesu antivírusu beží na Windows s oprávneniami System a na Linuxe a OS X s oprávneniami root. To znamená získanie kompletnej kontroly nad počítačmi.

Podľa Ormandyho sa chyba nachádzala vo všetkých podporovaných verziách a edíciách antivírusových produktov Esetu na Windows, Linuxe a OS X vrátane produktov Eset Nod32, Smart Security, Nod32 Business Edition.

Extrémne vážne dôsledky

Chyba, ako je zjavné už z jej popisu, má pritom extrémne vážne dôsledky.

Pri zapnutej antivírusovej ochrane v reálnom čase je totiž možné chybu zneužiť len dosiahnutím, aby sa podvrhnutý kód jednoducho hocijakým spôsobom len uložil na disk. Skenovacie jadro totiž automaticky preveruje všetky dáta ukladané na disk, vrátane použitia predmetnej emulácie s bezpečnostnou chybou.

Dosiahnuť ale aspoň dočasné uloženie podvrhnutých dát na disk je možné mnohými spôsobmi a pre útočníkov to otvára do počítačov výrazne viac ciest ako takmer všetky ostatné bežné typy vážnych zraniteľností.

Dosiahnuť je to možné aj bez akejkoľvek súčinnosti užívateľa, napríklad len prijatím emailu aplikáciou Mail na OS X alebo Outlook. Chyba má vďaka tomu potenciál byť zneužitá aj na vytvorenie červa.

Okrem iného je možné zneužitie chyby dosiahnuť aj len umiestnením podvrhnutého kódu do súboru obrázku, ktorý môže byť kľudne umiestnený na dôveryhodnej webovej stránke, alebo len zastrčením infikovaného USB kľúča.

Zároveň sa dá chyba zneužiť aj pri vypnutej ochrane v reálnom čase, keď príde k pravidelnej alebo vyžiadanej kontrole diskov antivírusom.

Chyba vyznieva mimoriadne vážne aj v kontexte aktuálnych informácií o zameraní sa tajných služieb NSA a GCHQ na antivírusové produkty. Tieto tajné služby totiž majú a mali prostriedky, ktoré im umožňovali takúto chybu bez problémov nájsť a zneužívať. Ormandy upozorňuje, že objavenie chyby a napísanie funkčného exploitu trvalo len niekoľko dní.

Ormandy zároveň zverejnil funkčný exploit kód na OS X, ktorý spúšťa zvolený skript len po prečítaní súboru so škodlivým kódom z disku. V prezentačnom videu zase počítač infikuje po návšteve webovej stránky s podvrhnutým obsahom.

Odporúčania

Vzhľadom na vážnosť chyby a jej jednoduchú zneužiteľnosť je nevyhnutné, aby bola určite na počítačoch užívateľov odstránená.

Esetu bola chyba nahlásená vo štvrtok 18. júna, opravil ju aktualizáciou definičných súborov číslo 11824 vydanou v pondelok 22. júna.

Pri štandardnom nastavení sa antivírus aktualizuje automaticky, užívatelia by si ale mali pre istotu overiť či majú nainštalovanú aspoň aktualizáciu 11824.

Odkedy bola chyba v produktoch Esetu prítomná zisťujeme.


      Zdieľaj na Twitteri



Najnovšie články:

Podľa Torvaldsa je plná podpora Linuxu na ARM Macoch nepravdepodobná
Sci-fi The Expanse dostane ďalšiu sériu, poslednú
Spotreba elektriny na Slovensku je už vyššia ako minulý rok
Apple má pripravovať 12-jadrový ARM procesor pre PC, má byť ešte výrazne rýchlejší
Čína úspešne vypustila sondu, ktorá prinesie materiál z Mesiaca
Musk predbehol Gatesa a je druhým najbohatším
Intel mediálne zaútočil na AMD notebooky, kvôli výkonu na batériu
Skončila aukcia 5G frekvencií, najviac frekvencií získalo O2 a nejaké získala aj 4ka
Strana SaS chce kvôli koronavírusu plošne sledovať polohu mobilov
Anténa Starlinku má spotrebu až 100 Wattov


Diskusia:
                               
 

Hlavne odporucanie je odinstalovat Eset a windows a nainstalovat linux.
Odpovedať Známka: -1.3 Hodnotiť:
 

kazdy ti kasle na tvoj Linux, ktory nestoji za nic
Odpovedať Známka: -2.9 Hodnotiť:
 

Nestoji nic, to mas pravdu ;)
Odpovedať Známka: 6.1 Hodnotiť:
 

Máš problém s chápaním textu ? Je rozdiel nestojí za nič a nestojí nič!
Odpovedať Známka: -5.5 Hodnotiť:
 

Lenže Linux nestojí nič a stojí za veľa. Má svoje plus aj mínus rovnako ako Windows alebo Mac. Už dávno prenikol aj do profesionálnej sféry, ako napríklad renderovanie videa kde v mnohých firmách vytlačil alternatívne, platené OS.
Odpovedať Známka: 5.5 Hodnotiť:
 

Kamarát robí s 3D tlačiarami všetkého druhu a používa jedine Linux
Odpovedať Známka: 5.5 Hodnotiť:
 

Mínuskujte toho smrada!
Odpovedať Známka: -5.3 Hodnotiť:
 

odo mna si uz dostal, neni zac
Odpovedať Známka: 3.2 Hodnotiť:
 

Navrhujem navýšiť body + a - na hodnotu 100. -10 niekedy nestačí.
Odpovedať Známka: 7.4 Hodnotiť:
 

Tak preco chodis na internet a chodis na forum ktore bezi na linuxe tak ako vsetko okrem tvojho zavireneho pc
Odpovedať Známka: 4.3 Hodnotiť:
 

lol, to sme sa kedy stihli vykaslat na solaris?
Odpovedať Známka: 7.9 Hodnotiť:
 

Rišo TW mi pred rokmi vravel že je to geniálny OS, nemáte to niekto "install"-nuté?
Odpovedať Hodnotiť:
 

Mame
Odpovedať Hodnotiť:
 

Este lepsie zahodit PC, na win zabudnut, na linux zanevriet bo to pokial clovek nastavi na obraz svoj tak mu aj brada narastie a kupit si konecne pocitac co stoji zato. Mac OSX na ktory sa nechyta ziadna haved
Odpovedať Známka: -7.5 Hodnotiť:
 

akože potom nebude treba antivírus alebo ako?
Odpovedať Známka: 5.9 Hodnotiť:
 

Presne tak, antivir nebude treba lebo bežný spotrebitel nevie kompilovať zo zdojákov a programy bude inštalovať iba z "marketu". :) A to je fajn a tak to ma byt. :)
Odpovedať Známka: 5.8 Hodnotiť:
 

emerge to skompilovat zvladne aj zanho, akurat treba nastavit vhodne use flagy :-)

(kde su tie casy ked bolo treba vsetko rucne stiahnut, rozbalit, ./configure niekedy aj s par riadkami paramterov a potom make....)
Odpovedať Známka: -3.3 Hodnotiť:
 

v pici kam patria
Odpovedať Známka: 6.0 Hodnotiť:
 

Co je to antivirus ;)
Odpovedať Hodnotiť:
 

A vyskusat Malwarebytes.
Odpovedať Známka: 3.8 Hodnotiť:
 

daj si facku
Odpovedať Známka: 1.4 Hodnotiť:
 

Si nečítal, že chyba sa vzťahuje aj na linux a OSX ?

Odpovedať Známka: -6.8 Hodnotiť:
 

Dalsi mudry s linuxom..
Instaluj si co chces, ale uz si konecne uvedom, ze ked budeme mat vsetci linux, tak to bude presne to iste ako s windowsom..
Naco robit virusy a pod pre os s minimalnym podielom na trhu?
Odpovedať Známka: -3.0 Hodnotiť:
 

pokial bude roznorodost instalacii taka ako je v sucasnosti, tak to stale nebude az taky problem... linux je len jadro, to vsetko okolo je uz len to co ti tam zostavovatelia distribucii (ktorych je nemalo) nahadzu a este stale je na tebe co z toho si tam nainstalujes...
nehomogenita prostredia je v tomto pripade vyhodou, tazsie je spravit univerzalne fungujuci kod ked nevies co ta caka na druhej strane...
Odpovedať Známka: 1.4 Hodnotiť:
 

Vieš aj nejako obhájiť svoje tvrdenie? Alebo len máš pocit, že to tak je, čiže tliachaš ako nejaká ženská.
Odpovedať Známka: -6.0 Hodnotiť:
 

Linux je dobry na office PC alebo bezne low-mid range notebooky. Ked som sa to snazil nainstalovat na notebook s gpu tak sa mi to na Fedore ani nepodarilo nabootovat a na Ubuntu mi to po stiahnuti ich "recommended" driveroch freezlo hned po boote. Linux nema absolutne ziadnu solidnu podporu pre multi gpu setupy (nvidia optimus). Na Windowse som nikdy v zivote taketo problemy nemal. V praci mam na beznom PC CentOS a som spokojny, instalovat to na komplexnejsie zariadenia je pain
Odpovedať Známka: -5.6 Hodnotiť:
 

Backdoor ESET
Odpovedať Známka: 8.3 Hodnotiť:
 

dufam, ze "u kalendaru google" nic take nehrozi... :)
Odpovedať Známka: 10.0 Hodnotiť:
 

ale veľmi pekný exploit. :)
Odpovedať Známka: 9.4 Hodnotiť:
 

Každej firme sa môže stať, že má bezpečnostnú dieru. Otázka je, ako sa k tomu postaví. Toto sa aspoň opravilo rýchlo...
Ajtak je to podľa môjho názoru dosť blbá chyba vzhľadom na zameranie spoločnosti...
Odpovedať Známka: 9.5 Hodnotiť:
 

Google dava na nimi najdene exploity 90 dni pred tym, ako ich zverejni. Pamatam si ako sa dotahovali s Microsoftom, ked ten chcel opravu vydat v pravidelnom druhoutorkovom termine, co vychadzalo na nejaky 93.den alebo tak nejak.
Tu to trvalo 4 dni :)
Odpovedať Známka: 3.3 Hodnotiť:
 

porovnavas neporovnatelne
Odpovedať Známka: -1.3 Hodnotiť:
 

Ale čo nepovieš, prečo by to malo byť neporovnateľné.
Odpovedať Známka: -1.1 Hodnotiť:
 

velkost firmy => 118 584 vs 800 zamestnancov v prospech MS, teda aj iny chain of command

produkt => operacny system, ktory bezi od bankomatov po servery v datacentrach na milionoch PC. hostuje statisice programov. zmena do takeho produktu znamena nieco ine, ako zasah do internej implementacie nejakej funkcie jedneho z programov beziacich na danom OS, ktory ju vyuziva interne.

release cyklus => antivirus zvycajne updatujes kazdy den, kdezto OS prinajlepsom raz za mesiac (co ti skracuje cas aby sa zmeneny kod dostal az ku zakaznikovi)
Odpovedať Známka: 2.7 Hodnotiť:
 

Update 11824
2015-06-22

A security vulnerability has been fixed in the scanning engine which was reported to us by Tavis Ormandy of Google Project Zero.
Odpovedať Známka: 8.9 Hodnotiť:
 

tak zaspominajme si
predtym detekovali nejake subory v adresari win a mazali ich a win uz nenabehol
teraz toto
u nas v praci nenasli virusy

kde si to mozem kupit?
Odpovedať Známka: -1.3 Hodnotiť:
 

To s tym mazanim systemovych suborov bol Avast
Odpovedať Známka: 2.7 Hodnotiť:
 

Eset je jedna z mála Slovenských firiem ktoré vo svete niečo dokázali. Netreba ich hneď odsudzovať a zadupávať pod čiernu zem.
A ako sa hovorí... "Aj majster tesár sa utne".
Odpovedať Známka: 5.3 Hodnotiť:
 

Ale potom ma o prst menej
Odpovedať Známka: 7.6 Hodnotiť:
 

a bez prsta uz az taky majster nie je :)
Odpovedať Známka: 10.0 Hodnotiť:
 

to znamená že zle utne tú kladu, nie svoj prst, kua!
Odpovedať Známka: 2.0 Hodnotiť:
 

Nikdy si nekúpim eset, za to, že dali denníku N 1 milión €
Odpovedať Známka: 0.4 Hodnotiť:
 

ty si daj tiez facku
Odpovedať Známka: 4.0 Hodnotiť:
 

On to myslel tak, ze mu mal dat aspon 2 milióny. Ale facku by si mal dat uz len z preventívnych dôvodov.
Odpovedať Známka: 10.0 Hodnotiť:
 

bohuzial stalo sa, ale ako sa vravi, kto nic nerobi nic nepokazi. A hlavne kedze robia to co robia je u nich omnoho vacsie riziko takejto chyby. Samozrejme, ze sa taketo nestane napr pekarovi, tak isto ako sa esetu nemoze stat ze preda plesnive rozky :D


Odpovedať Známka: 6.4 Hodnotiť:
 

vidno ze casto rozky od esetu nekupujes...
Odpovedať Známka: 7.3 Hodnotiť:
 

no priznam sa ze jeden mi bezi na android tablete, thats all :)


Odpovedať Hodnotiť:
 

Obhajoby typu "kto nic nerobi, nic nepokazi", alebo "aj majster tesar sa utne" nie su na mieste. Toto je vazna vec a je neskutocnou ironiou, ze takyto kriticky produkt, ktory ti ma zvysit bezpecnost, v skutocnosti vytvori obrovsku dieru takehoto kalibru.

Tu vznika ovela dolezitejsia otazka, a to: Ako chce teraz Eset dokazat, ze to nebolo urobene zamerne? Pokial chcu mat doveru zakaznikov, musia v prvom rade adresovat toto podozrenie.
Dalsou uplne prirodzenou otazkou je, ako chce Eset dokazat ze ide o vynimku a ze v ich produktoch sa uz ziadne taketo chyby nenachadzaju?

Pruser jak hrom...ale aspon niektorym otvori oci. To ze niekomu platim za softver este neznamena ze mu zan neplati aj niekto iny... Nemame ziaden dovod doverovat tymto produktom, vacsina z nas do vnutra tej firmy nevidi, tak preco by sme mali verit tomu, ze vsetko robia pre nas prospech? Grow up..
Odpovedať Známka: 4.8 Hodnotiť:
 

Nuz, pre takych ako ty, moze byt dokazom napriklad to, ze ESET robi pravidelne refaktorizaciu kodu jadra, teda priebezne cely kod zahodi a napise odznova, aby sa predislo tomu, ze by nejaka neobjavena diera pretrvavala v produkte prilis dlho.
Takyto refaktorizovany kod uz bol k dispozicii na testovacich aktualizaciach, teda coskoro by sa dostal aj na klasicke aktualizacie. Google stihol chybu najst skor ako by ju ESET automaticky takymto sposobom odstranil (bez toho aby o nej nutne vedel, to je vyhoda refaktorizacie).
Zdroj: clanok na theregister.co.uk o tomto pripade
Odpovedať Známka: -3.3 Hodnotiť:
 

Zaujimave. Takze vlastne riskuju, ze kompletnym prepisom dost pravdepodobne vytvoria chyby nove? :) Teda neviem o akej zlozitosti "jadra" a jeho kodu sa bavime, no toto mi pride prinajmensom riskantne...
Odpovedať Známka: 6.8 Hodnotiť:
 

Mudrejsie hlavy ako ja a ty vymysleli, ze to bude tak lepsie: https://en.wikipedia.org/wiki/Code_refactoring
Odpovedať Známka: 3.3 Hodnotiť:
 

Máš to popletené. Refaktor ani náhodou neznamená zahodenie kódu a napísanie odznova. ;)
Odpovedať Známka: 10.0 Hodnotiť:
 

Akym ze uz je to dokazom? Ako si overim, ze:
a) kod je naozaj refaktorovany a nie su to len kecy
b) do noveho kodu opat zamerne nestrcili tie iste, alebo ine back-doory?

Nejake kecy v clankoch nic nedokazuju.
Odpovedať Známka: 5.0 Hodnotiť:
 

Všetko je to otázka priorít. Či viac chrániť počítače uživatelov alebo demokraciu. :) ESET si zjavne vybral to druhé. To je ale konšpirácia samozrejme, :) aj ked ESET financuje istý proamericky orientovaný denník, z nejakého dovodu.
Čo je ale fakt že z best antiviru sa za posledne roky stal hlboký priemer. Škoda dobrej slovenskej značky.
Odpovedať Známka: 6.8 Hodnotiť:
 

Aj ty si si to všimol.

"aj ked ESET financuje istý proamericky orientovaný denník,"


1. Môže to byť náhodná chyba (únava a nepozornosť programátorov)

2. Niekto komu sa nepáči podpora toho denníka zasiahol

2.1 programátor/majiteľ(nechce sa nechať vydierať) ktorý chápe čo je informačná vojne a skadiaľ ide viac pravdy

2.2 Niekto iný chce potopiť americkú propagandu na území slovenska potopením financovania určitého denníka

3. karma (viď bod 1., 2.1 a 2.2)

:-) Poznáte to že som paranoidný ešte neznamená že po mne nejdú


Odpovedať Známka: 3.3 Hodnotiť:
 

mne sa paci ako taky nikto z pohladu pristupu k informaciam ide tvrdit, ci je eset proamericky a ci podporuje demokraciu na zaklade jedneho zasponzorovaneho SK projektu :D :D
co si myslim o demokraciu a kapitalizme - nie su zle, len su ucelovo zle riadene.
.
osobne ak by ma srala korupcia a mam zbytocnych 1mil. EUR tak ako just tiez zajebem penuaze nejakemu denniku nech si prostitutka v saku na stolicke a jejho suhaj kokot z vilou ma bahamach nemyslia ze zozrali mudrost sveta lebo horkotazko slimacim tempom postavili 20km dialnic
Odpovedať Známka: 10.0 Hodnotiť:
 

Neviem ako vy, ale ja mám stále pocit, že počítačové vírusy programujú v drvivej väčšine samotní programátori antivírusov. Aby teda mali čo predávať.
Odpovedať Známka: 4.5 Hodnotiť:
 

Aj hmyz vyrabaju vyrobcovia repelentov. Aby teda mali co predavat.
Odpovedať Známka: 6.9 Hodnotiť:
 

Možno ani nie si ďaleko od pravdy, ak keď sa to može zdať smiešne.
Odpovedať Hodnotiť:
 

Nooo, produkt eset mi pripomina pad zlepenca. Tiez sa snazili robit akoze politiku a nezdarilosa. Eset strka nos tam, kam nema. Aha, vysledok sa dostavil.
Odpovedať Známka: -2.9 Hodnotiť:
 

pomylil si si portal, chod do rici s politikou
Odpovedať Známka: 3.3 Hodnotiť:
 

No prave preto nevyuzivam a ani neodporucam tento smejd pouzivat!!!!
Odpovedať Hodnotiť:
 

ESET stoji za hovno, ako antivir, tak ako biznis riesenie. Ta ich posrana Admnin konzola je predpotopna jak cela firma
Odpovedať Hodnotiť:
 

multi GPU systemi funguju absolutne bez problemov ( optimus viac ako 3 roky bez jedineho problemu) staci volat primusrun alebo optiran ( bumblebee) a nepouzivat ubuntu ale nieco solidnejsie napr. Debian, OpenSUSE ( v moze byt aj centOS 7.1 na 6.6 optimus nepojde)

AMD+Intel multi GPU funguje este lepsie narozdiel od widows nevyzaduje restart ani ziadne speci nastavenia ci ovladace staci volat DRI_PRIME=1 pre pouzitie AMD grafiky( Pri pouzity proprietarnych restart ale vyzaduje DRI_PRIME=1 jedine pri open drieroch od kernelu 3.13 a X 1.15 da sa aj na starsich ale je to trosku zlozitejsie a nefunguje automaticky)


Co sa tyka genia, ktory tvrdi, ze Linux nema skodlivy kod pre jeho rozsirenie zabuda na servery, (napr. take burzy,banky su fajn), velke korporacie ci sietove prvky kde je bezpecnost omnoho dolezitejsia ako pri osobnych pocitacoch. Bezpecnost pri Linuxe je skor dana navrhom a neustalou pracou vyvojarov.
Odpovedať Hodnotiť:

Pridať komentár