Антивирусы тоже уязвимы

Антивирусы тоже уязвимы
5874b923d883a8e05af335ea6ae2d79c.jpg

ИБ-эксперт Роберто Франческетти (Roberto Franceschetti) опубликовал исследование популярных антивирусных продуктов на подверженность уязвимости отключения через локального администратора и режим безопасной работы ОС Windows. Этот режим существует для полного контроля операционной системы администратором и в принципе рассчитан на полное доверие его пользователю. Антивирусные решения, как правило, имеют защиту от отключения в обычном режиме работы, в том числе локальным администратором, за счет использования отдельного «администратора антивируса» с собственным механизмом авторизации. Но в данном случае Роберто Франческетти удалось обойти эти защитные механизмы, используя совокупность факторов: наличие у злоумышленника прав локального администратора на машине, запуск пользователем ПК .bat файла, перезагрузку ПК в режиме безопасной работы.
Следующие производители антивирусных решений, чьи продукты можно таким образом отключить, уже уведомлены об уязвимости: Windows Defender, Avast, Bitdefender, Kaspersky и F-Secure. Наш партнер, компания «Лаборатория Касперского» уже ведет работу над исправлением уязвимости.
Еще более интересное исследование известных уязвимостей опубликовал Абдельхамид Насери (Abdelhamid Naceri). Оно затрагивает  антивирусные продукты следующих производителей: Avast, McAfee, Avira, Trend Micro, MalwareBytes и Kaspersky. Данное исследование примечательно тем, что эксперт не стал ждать ответа от вендоров на найденные проблемы, а сразу опубликовал доказательство концепта (Proof of Concept – PoC) для них.
PoC включает описание нескольких предыдущих уязвимостей, которые были исправлены каждым из производителей, а также их модификацию с успешным применением. В основном обнародованные уязвимости приводят к уничтожению пользовательских антивирусных настроек и определенных папок – что вызовет те или иные сбои в работе самого антивирусного решения. Исследователь отмечает особенную устойчивость продуктов и активную работу с уязвимостями у Trend Micro, MalwareBytes и «Лаборатории Касперского».
В свете данных событий мы рекомендуем обратить особое внимание на последние обновления для антивирусных продуктов. Скорее всего, они будут содержать патчи для данных проблем. Кроме того, достаточная превентивная защита оградит от потенциальной эксплуатации уязвимостей в дополнение к стандартным ИБ-процедурам: активному мониторингу, защите периметра, фильтрации внешнего трафика и использованию микросегментации:
  • Фильтрация входящего трафика (e-mail, интернет, различные открытые мессенджеры) на передачу *.bat, C# и других исполняемых файлов/скриптов.
  • Обучение пользователей не запускать файлы из ненадежных источников, по возможности не использовать права администратора в постоянной работе (для избежания случайных заражений).
  • Отслеживание работы антивирусных служб, своевременное их обновление у всех пользователей: и сигнатур, и самого антивирусного ПО.
«В текущих реалиях традиционных средств для защиты конечных точек уже недостаточно. Антивирусы работают по заложенным шаблонам (сигнатурам), анализируя характеристики ПО (имя, размер, действия), и в большинстве случаев построены на базе уже известных вредоносных программ. Со временем техники злоумышленников стали более совершенны. Антивирусы же выявляют инциденты  на конечных точках, но, к сожалению, не способны определить, что поступающие предупреждения могут быть составной частью  более сложных схем взлома, что, в  свою очередь, может повлечь ущерб для организаций», – рассказывает Оксана Васильева, руководитель Angara Professional Assistance.
По ее словам, для комплексной защиты конечных точек необходимо, чтобы антивирус работал в тандеме с решениями класса EDR (Endpoint Detection and Response), которые направлены на защиту от сложных и неизвестных угроз.
Решения EDR из года в год набирают популярность в сфере информационной безопасности. Оксана Васильева уточняет, что они обеспечивают мониторинг конечных точек в режиме реального времени и могут предоставлять визуализацию процессов, в том числе легитимных, и соединений на всех рабочих станциях, при этом обнаруживать и приоритизировать инциденты информационной безопасности при возникновении на конечных точках и поддерживать возможность взаимодействия с антивирусными решениями.
«Понятно, что для очередного решения требуются дополнительные финансовые  вложения в виде закупки лицензий, обучения  сотрудников  или найма дополнительного персонала.  Но  сейчас можно  воспользоваться услугами сервис-провайдеров», – заключает Оксана Васильева.
Так, в рамках услуги Service EDR ACR аналитики-эксперты Angara Professional Assistance посредством продукта «Лаборатории Касперского» KEDR проводят удаленный мониторинг рабочих мест и серверов заказчика, выявляют и реагируют на инциденты ИБ. Клиенты получают поддержку своей ИТ-инфраструктуры в режиме онлайн, что позволяет оперативно предупреждать и ликвидировать киберинцидент. Сервис предоставляется на базе собственного SOC – Центра киберустойчивости ACRC.
Данная услуга также лежит в основе сервисно-страхового продукта Angara Professional Assistance  и САО «ВСК». Помимо защиты инфраструктуры, продукт предполагает возмещение ущерба, если программно-сервисная часть защиты допустит киберинцидент с негативными последствиями.
Подробнее о возможностях Service EDR ACR  можно узнать в соответствующем разделе , а также у менеджеров компании по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.
Alt text

Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group