Обход проактивной защиты продуктов лаборатории Касперского. Видео демонстрация

    Довольно давно обнаружил возможность обойти проактивную защиту в продуктах лаборатории Касперского. Наконец, дошли руки сделать демку.

    Последовательность действий:

    1. Проверяем, что драйвера в системном каталоге нету (пытаемся его открыть через notepad)
    2. Запускаем эксплоит, появляется запрос от Касперского об установке драйвера. Ничего не нажимаем (т.е. не даём согласия на установку)
    3. Снова обращаемся к драйверу через notepad и вуаля: драйвер установлен!

    Узявимые версии: Kaspersky Crystal 12.0.1.228, KIS/KAV 2012, KIS/KAV 2011. Возможно, и другие тоже.

    Технических подробностей пока не раскрываю до связи с представителями лаборатории Касперского. Сообщу лишь, что уязвимость не связана с переполнением буфера и прочими похожими типами уязвимостей, и носит архитектурный характер. Стабильно воспроизводится на ОС Win (x32 и x64) XP, Vista, 7.

    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 12
    • 0
      Создание файла (то что показано в видео) != загрузке драйвера (о чём предупреждает касперский).
      • +1
        Согласен. Но дело в том, что на видео присутствует руткит-вирус. Он скрывает драйвер после установки. Из-за чего довольно проблематично продемонстрировать его наличие в системе. Во всяком случае, мне так и не пришло в голову разумных вариантов. Довольно простых и недолгих, которые можно было бы показать в видео ролике
    • +13
      Простите, но у меня вопрос.
      Зачем об этом тогда писать, если нет технических деталей? И понятно, почему нет.
      Но не очень, в этом случае, понятна содержательная значимость публикации.
      Ведь, по сути, все можно было свести к одному предложению в twitter с ссылкой на видео.
      • –14
        Возможно, Вы правы.
        Может быть, следующий пост про обход проактивки в Outpost Security Suite выложу на другом ресурсе. Раз уж здесь ожидают увидеть развёрнутый ресёч
        • 0
          Когда вы сообщили в ЛК и как они отреагировали?
          • +6
            Этот баг кормил столько людей…
            • 0
              Думаю найдут новые…
            • 0
              Sources or GTFO
              • 0
                На почте Vulnerability@kaspersky.com подобного запроса не обнаружено. Как вы связывались с нами?
                • 0
                  На почте Vulnerability@kaspersky.com подобного запроса не обнаружено. Как вы связывались с нами?
                  • 0
                    09/04/2012 07:28 я получил почту от Vulnerability Mailbox <Vulnerability@kaspersky.com>

                    Содержание сообщения:

                    «Игорь, не планируете поделиться с нами информацией по вашему посту на Хабре?
                    Best regards,
                    Oleg Andrianov
                    Vulnerability response manager»

                    отправил ответ на это письмо через пару дней

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.