25 августа 2012 в 12:49

Обход проактивной защиты продуктов лаборатории Касперского. Видео демонстрация

Довольно давно обнаружил возможность обойти проактивную защиту в продуктах лаборатории Касперского. Наконец, дошли руки сделать демку.

Последовательность действий:

1. Проверяем, что драйвера в системном каталоге нету (пытаемся его открыть через notepad)
2. Запускаем эксплоит, появляется запрос от Касперского об установке драйвера. Ничего не нажимаем (т.е. не даём согласия на установку)
3. Снова обращаемся к драйверу через notepad и вуаля: драйвер установлен!

Узявимые версии: Kaspersky Crystal 12.0.1.228, KIS/KAV 2012, KIS/KAV 2011. Возможно, и другие тоже.

Технических подробностей пока не раскрываю до связи с представителями лаборатории Касперского. Сообщу лишь, что уязвимость не связана с переполнением буфера и прочими похожими типами уязвимостей, и носит архитектурный характер. Стабильно воспроизводится на ОС Win (x32 и x64) XP, Vista, 7.

Агиевич Игорь aka shanker @shanker
карма
8,0
рейтинг 0,0
Похожие публикации
Самое читаемое Разработка

Комментарии (12)

  • 0
    Создание файла (то что показано в видео) != загрузке драйвера (о чём предупреждает касперский).
    • +1
      Согласен. Но дело в том, что на видео присутствует руткит-вирус. Он скрывает драйвер после установки. Из-за чего довольно проблематично продемонстрировать его наличие в системе. Во всяком случае, мне так и не пришло в голову разумных вариантов. Довольно простых и недолгих, которые можно было бы показать в видео ролике
      • 0
        DbgView?
  • +13
    Простите, но у меня вопрос.
    Зачем об этом тогда писать, если нет технических деталей? И понятно, почему нет.
    Но не очень, в этом случае, понятна содержательная значимость публикации.
    Ведь, по сути, все можно было свести к одному предложению в twitter с ссылкой на видео.
  • –14
    Возможно, Вы правы.
    Может быть, следующий пост про обход проактивки в Outpost Security Suite выложу на другом ресурсе. Раз уж здесь ожидают увидеть развёрнутый ресёч
  • 0
    Когда вы сообщили в ЛК и как они отреагировали?
  • +6
    Этот баг кормил столько людей…
    • 0
      Думаю найдут новые…
  • 0
    Sources or GTFO
  • 0
    На почте Vulnerability@kaspersky.com подобного запроса не обнаружено. Как вы связывались с нами?
  • 0
    На почте Vulnerability@kaspersky.com подобного запроса не обнаружено. Как вы связывались с нами?
    • 0
      09/04/2012 07:28 я получил почту от Vulnerability Mailbox <Vulnerability@kaspersky.com>

      Содержание сообщения:

      «Игорь, не планируете поделиться с нами информацией по вашему посту на Хабре?
      Best regards,
      Oleg Andrianov
      Vulnerability response manager»

      отправил ответ на это письмо через пару дней

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Интересные публикации