0,0
рейтинг
25 августа 2012 в 12:49

Разработка → Обход проактивной защиты продуктов лаборатории Касперского. Видео демонстрация

Довольно давно обнаружил возможность обойти проактивную защиту в продуктах лаборатории Касперского. Наконец, дошли руки сделать демку.

Последовательность действий:

1. Проверяем, что драйвера в системном каталоге нету (пытаемся его открыть через notepad)
2. Запускаем эксплоит, появляется запрос от Касперского об установке драйвера. Ничего не нажимаем (т.е. не даём согласия на установку)
3. Снова обращаемся к драйверу через notepad и вуаля: драйвер установлен!

Узявимые версии: Kaspersky Crystal 12.0.1.228, KIS/KAV 2012, KIS/KAV 2011. Возможно, и другие тоже.

Технических подробностей пока не раскрываю до связи с представителями лаборатории Касперского. Сообщу лишь, что уязвимость не связана с переполнением буфера и прочими похожими типами уязвимостей, и носит архитектурный характер. Стабильно воспроизводится на ОС Win (x32 и x64) XP, Vista, 7.

Агиевич Игорь aka shanker @shanker
карма
8,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (12)

  • 0
    Создание файла (то что показано в видео) != загрузке драйвера (о чём предупреждает касперский).
    • +1
      Согласен. Но дело в том, что на видео присутствует руткит-вирус. Он скрывает драйвер после установки. Из-за чего довольно проблематично продемонстрировать его наличие в системе. Во всяком случае, мне так и не пришло в голову разумных вариантов. Довольно простых и недолгих, которые можно было бы показать в видео ролике
      • 0
        DbgView?
  • +13
    Простите, но у меня вопрос.
    Зачем об этом тогда писать, если нет технических деталей? И понятно, почему нет.
    Но не очень, в этом случае, понятна содержательная значимость публикации.
    Ведь, по сути, все можно было свести к одному предложению в twitter с ссылкой на видео.
  • –14
    Возможно, Вы правы.
    Может быть, следующий пост про обход проактивки в Outpost Security Suite выложу на другом ресурсе. Раз уж здесь ожидают увидеть развёрнутый ресёч
  • 0
    Когда вы сообщили в ЛК и как они отреагировали?
  • +6
    Этот баг кормил столько людей…
    • 0
      Думаю найдут новые…
  • 0
    Sources or GTFO
  • 0
    На почте Vulnerability@kaspersky.com подобного запроса не обнаружено. Как вы связывались с нами?
  • 0
    На почте Vulnerability@kaspersky.com подобного запроса не обнаружено. Как вы связывались с нами?
    • 0
      09/04/2012 07:28 я получил почту от Vulnerability Mailbox <Vulnerability@kaspersky.com>

      Содержание сообщения:

      «Игорь, не планируете поделиться с нами информацией по вашему посту на Хабре?
      Best regards,
      Oleg Andrianov
      Vulnerability response manager»

      отправил ответ на это письмо через пару дней

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.