Сотрудник Google показал тривиальный взлом антивируса ESET NOD32

22 июня 2015 года, проект Intercept опубликовал очередную порцию документов Сноудена о слежке АНБ за антивирусными компаниями и обратной разработке антивирусных программ. В такой слежке нет ничего удивительного, потому что трафик между пользователями антивирусов и серверами производителя даёт очень много полезной информации, в том числе образцы свежих зловредов, использующих 0day-уязвимости. Конечно же, АНБ тоже хочется использовать такие уязвимости.

Антивирусные компании, естественно, отрицают всякие возможности сотрудничества с АНБ, а также уверяют в надёжной защите своих программ и шифровании трафика между клиентами и сервером. Но факты говорят об обратном.

Буквально через пару дней после публикации документов хакер Тэвис Орманди (Tavis Ormandy) из подразделения Project Zero в компании Google показал, как легко взломать, например, антивирус ESET NOD32. Кстати, этот словацкий антивирус тоже указан в презентации АНБ.

Орманди обратил внимание на работу эмулятора ESET NOD32 — песочницы, в которой исполняется потенциально вредоносный код. Эмулятор должен быть надёжно изолирован от основной системы, но в реальности это не так, и эмулятор «тривиально взламывается», как выразился хакер, так что вредоносный код может проникнуть в материнскую систему. В демонстрации показывается, как можно отправить на компьютер жертвы эксплоит, который благодаря ESET NOD32 скомпрометирует всю систему.

Уязвимость присутствует во всех версиях ESET NOD32 на всех платформах, так что её вполне могло использовать АНБ.

Парадоксально, что сам антивирус, который должен защищать компьютер, в реальности становится средством для проникновения в систему.

Международная антивирусная компания ESET закрыла уязвимость в продуктах ESET NOD32, обнаруженную исследователями Google Project Zero.

Информация об уязвимости поступила в штаб-квартиру ESET 19 июля. Данная экспериментальная уязвимость позволяла получить удаленный доступ к файлам на компьютерах с установленными антивирусными продуктами ESET NOD32.

22 июня было выпущено обновление, доступное всем пользователям ESET NOD32, закрывающее данную уязвимость. Оно было доставлено вместе с вирусными базами данных сигнатур версии 11824. На момент публикации информации об уязвимости (23 июня) она была закрыта. Уязвимость устранена во всех антивирусных продуктах ESET NOD32 с базой сигнатур версии 11824 и выше.

«Все пользователи наших продуктов, у которых версия вирусной базы данных 11824 или больше, могут ни о чем не беспокоиться, а всем остальным нужно просто обновить базу данных сигнатур вирусов», – отметил Алексей Оськин, руководитель отдела технического маркетинга ESET Russia.