Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Sophail v2

2012.11.05. 20:25 | buherator | 3 komment

Ha ki kellene választanom a kedvenc kutatási beszámolómat, Tavis Ormandy Sophail című műve minden bizonnyal a döntősök között lenne. Most megjelent a Sophos antivírus elemzésének második része, ami nem kevésbé arcpirító és szórakoztató mint az első darab.

A kutató egyrészt feltárt néhány memóriakorrupciót okozó problémát az antivírusmotor fájlfeldolgozó moduljaiban - ezekkel lényegében abban a pillanatban behódoltatható a Sophos védelmével támogatott gép, mikor az antivírus elkezdi elemezni a tetszőleges módon bejuttatott EXE, RAR, PDF, stb. fájlt (innentől fújhatjuk pl. a Reader X sandboxát). A felhasználónak meg sem kell nyitnia a fájlt, az on-access scanner egy kernel driveren keresztül minden I/O műveletet figyel, és átadja az adatokat a sérülékeny, legmagasabb jogosultsági szinten futó folyamatnak.

Ezeknél a problémáknál azonban (szvsz.) sokkal érdekesebb, hogy az új sérülékenységek bevezetése mellett hogyan bonthatja le a rosszul megtervezett AV a rendszer meglévő védelmeit is.

A Sophos először is saját puffer-túlcsordulás elleni védelmet szállít, ami röviden annyit csinál, hogy behúzatja a saját spéci DLL-jét minden új folyamatba, majd feketelistáz egy sor, ROP payload-ok által előszeretettel használt API hívást. Ez az egyébként nagyjából triviálisan megkerülhető védelem nem aktív jobb ASLR megvalósítással rendelkező rendszereken (Vista, Win7, stb.), de a DLL - amit (állítólag teljesítmény okokból) /DYNAMICBASE nélkül forgattak - attól még ezeken is betöltődik, ezzel gyakorlatilag hatástalanítva a rendszer ASLR-jét.

Másrészt a webről jövő kártevők elcsípése érdekében a víruskergető egy Layered Service Providerrel monitorozza a TCP/IP socketeket, a külső moduljait azonban egy alacsony integritásiu szinten írható könyvtárból tölti be. Ezzel gyakorlatilag hatástalanítja az új IE változatok Védett Módját is. Az LSP által a hálózati folyamba szúrt figyelmeztető oldal ezen kívül univerzális DOM XSS-el sebezhető, a megjelenített oldalra nem lesz érvényes a Same-Origin Policy sem. 

Hab a tortán, hogy a frissítési mechanizmus helyi jogosultságkiterjesztésre használható, a Windowson SYSTEM jogokkal rendszeresen fel-felébredő frissítő folyamat ugyanis egy bárki által írható könyvtárból tölti be a moduljait.

A Sophos megköszönte Ormandy munkáját, és nem győzik hangsúlyozni, hogy a felsorolt problémák aktív kihasználásával még nem találkoztak. A jogosultságkiterjesztés problémára ugyanakkor a módosítások listája nem tér ki.

Címkék: antivirus sophos tavis ormandy sophail

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Meister · https://www.facebook.com/Meister1977 2012.11.05. 21:15:47

Anyám! Borogass! :-)
Azért érdekelne, hogy mi lehet a többiben, mert biztos vagyok benne, hogy azokban is vannak hasonló bugok!

buherator · http://buhera.blog.hu 2012.11.05. 21:24:52

@Meister: Vannak ;) Remélem össze tudok rakni valami fogyasztható anyagot hamarosan a témában!

ghost_____ 2012.11.05. 23:38:02

Hát vannak, elvétve :)