12.06.2016

Какие недостатки антивирусных программ?

Последнее время эксперты указывают на то, что ПО и программы для защиты не настолько надежны, как принято считать. Даже в программах топовых разработчиков находятся уязвимости и «лазейки» для вирусных атак. Это легко объясняется тем, что не только разработчики антивирусов совершенствуют свои продукты. С каждый годом становится всё больше и больше вирусных кодов и способов «заражать» устройства вредоносной информацией.

Последнее время эксперты указывают на то, что ПО и программы для защиты не настолько надежны, как принято считать. Даже в программах топовых разработчиков находятся уязвимости и «лазейки» для вирусных атак. Это легко объясняется тем, что не только разработчики антивирусов совершенствуют свои продукты. С каждый годом становится всё больше и больше вирусных кодов и способов «заражать» устройства вредоносной информацией.

Печальная тенденция хорошо проиллюстрирована на диаграмме ниже. На нем указано количество уязвимостей за каждый год на протяжении пятнадцати лет. Обратите внимание, что в начале 2000-х материалов об уязвимостях в программах антивирусной защиты практически не было. В то время как с 2010 года количество опасных уязвимостей начинает расти и достигает своего пика в 2015 году.

sxema_anti_2016

Конечно, сложно давать какие-либо точные прогнозы по поводу развития этой ситуации. Но некоторые предположения были сделаны на основе недавно опубликованных данных. Они касаются в основном того, как были найдены и устранены проблемы с безопасностью системы.

Как боролись специалисты по информационной безопасности с уязвимостями в защитных системах в 2016 году?

В начале этого  года была обнаружена угроза для безопасности в антивирусной программе TrendMicro. Опасность нашел Тэвис Орманди из компании Google, что специализируются на безопасности данных. Основная проблема заключается в том, что код выполняется удаленно. Когда пользователь устанавливает эту антивирусную программу по умолчанию, загружается и элемент Password Manager. Данный модуль прописан на JavaScript с node.js. Такая проблема идентифицирована в одной из функций API , что вызывает ShellExecute, не проверяя передаваемые аргументы. Таким образом, эта функция разрешает выполнение произвольного кода. Пример этого кода указан ниже:

sxema_anti_2016-1

12 января этого года представлен отчет о проблеме с безопасностью McAfee Application Control. Утилита не дает запускаться приложениям без права доступа. Также эта утилита предназначена в первую очередь для защиты значимых структур. Сотрудниками из компании SEC Consult была рассмотрена версия 6.1.3.353 под Windows. Они нашли варианты для запуска  приложений без авторизации, что ловко обходят защиту и программное DEP. Также было обнаружены возможности включения произвольного кода, выполненного в McAfee Application Control, обхода UAC при активированной защите программы McAfee и получения доступа к программе. Плюс к этому были найдены уязвимые элементы драйвера swin1.sys, что приводят к сбою системы.

В феврале Фитцл Скаба выполнил специальный отчет о недостатках QuickHeal 16.00. Драйвер webssx.sys подвергся CVE-2015-8285. Данный элемент влияет на повышение привилегий или вызывает BSOD. Драйвер создается без открытого файла безопасности. Таким образом, любой пользователь может работать с драйвером, обходя защиту ACL. Специалист обнаружил IOCTL-код и правильный размер передаваемого драйверу буфера, что приводит к запуску неправильной функции. Из-за того, что проверка данных из буфера была не очень детальная, аргумент функции memcpy переполнялся.

В этом же месяце хакер Грег Линарис нашел проблему в модуле GeekBuddy программы Comodo. Она заключается в том,  повышению привилегий на локальном уровне происходит несанкционированно.

В марте этого года было обнаружено критическое количество уязвимостей защитных программ. Так в самом начале месяца специалисты из Google Security Research разместили информацию об уязвимостях антивируса Avast. Сам исследователь проблемы заявляет, что главный баг связан с повреждениями памяти при разборе или анализе цифровой подписи файла.

После этого был опубликован материал об очередной проблеме безопасности, связанной с продукцией McAfee. Исследователь подробно описал как злоумышленники справляются с ограничениями безопасности программы McAfee VirusScan Enterprise 8.8. Благодаря этой уязвимости, юзер с правами локального администратора спокойно обходил ограничения по  безопасности и отключал антивирус. При этом знание пароля для входа не обязательно. С помощью патча от 25 февраля проблемы были устранены, хотя впервые обращение к этой программе было еще осенью 2014 года.

Затем была найдена очень опасная уязвимость была идентифицирована в Avira. Этот антивирус должен проводить обработку PE-файлов. Данная уязвимость приводила к RCE с привилегиями для авторизации. Решения данной задачи было выявлено и выпущено для использования 18 марта. На следующий день появилась информация о новой проблеме с риском в программе Comodo. Эмулятор x86 является одним из компонентов программы. Его используют для автоматической разархивирование и контроля обфусцированных данных. Патч для исправления уязвимости вошел в обиход 22 марта.

Также весной этого года специалисты нашли вредоносную ошибку в движке программы Comodo. Выполнение произвольного кода осуществлялось, если при запуске программы открывалась информации защищенная от удаления компонентом Packman. Патч для решения данной проблемы  появился 22 марта.

После проведения подобных мероприятий эксперты советуют устанавливать антивирусные системы в изолированной среде. Так как зачастую, отказаться совсем от антивирусов невозможно. Они как-никак помогают работать с большими массивами информации, что простому пользователю не всегда под силам. Таким образом, изолированная среда помогает сократить риски несанкционированных атак.

Как видим из написанного выше, даже у лучших антивирусов нет 100% гарантии защиты. С каждым годом придумываются всё новые и новые лазейки. А это значит только одно. Нужно всегда совершенствовать уровень защиты данных и ни в коем случае не останавливаться на достигнутом. Ведь нет предела совершенству. Тем более, если речь идет о безопасности.

antivirus