В проприетарном антивирусном пакете McAfee VirusScan Enterprise для платформы Linux выявлено (https://nation.state.actor/mcafee.html) 10 уязвмостей, сочетание которых даёт возможность организовать удалённую атаку, которая позволяет неаутентифицированному стороннему злоумышленнику выполнить свой код на сервере с правами пользователя root. Производителю было сообщено о проблеме ещё в июне, но обновление с устранением уязвимости было выпущено (https://kc.mcafee.com/corporate/index?page=content&id=SB10181) только вчера. Так как исправление уже доступно, обнаружившие уязвимости исследователи безопасности опубликовали рабочий прототип эксплоита (https://nextcloud.com/blog/nextloud-11-sets-new-standard-for.../).
По отдельности каждая из 10 уязвимостей не является критичной, но их сочетание позволяет выстроить цепочку для совершения атаки по получению полного контроля за системой. Исследователи также обратили внимание на непростительное для профессионального ПО для обеспечения безопасности отношение к собственной защите - процесс выполняется с правами root без сброса привилегий. Второй процесс, обеспечивающий работу web-интерфейса запускается под отдельным пользователем, но все запросы всё равно передаются для обработки процессу, работающему под rootНайденные уязвимости:
- CVE-2016-8016: Удалённая возможность проверки наличия файла, не требующая аутентификации;
- CVE-2016-8017: Удалённая возможность чтения определённого класса файлов без аутентификации;
- CVE-2016-8018: Отсутствие токенов для защиты от CSRF-атак;
- CVE-2016-8019: Возможность осуществления межсайтового скриптинга;
- CVE-2016-8020: Удалённое выполнение кода и повышение привилегий при наличии аутентифицированного доступа к web-интерфейсу;
- CVE-2016-8021: Возможность записи файлов в известные пути через манипуляции с web-интерфейсом;
- CVE-2016-8022: Повторное использование токенов аутентификации;
- CVE-2016-8023: Возможность подбора токенов аутентификации;
- CVE-2016-8024: Разбиение HTTP-запросов;
- CVE-2016-8025: Подстановка SQL-кода при наличии аутентифицированного входа.
Метод (https://nation.state.actor/mcafee.html#root) работы эксплоита сводится к следующим шагам:
- Подбор токенов аутентификации при помощи уязвимостей 7 и 8;
- Создание подставного сервера доставки обновлений;
- Использование седьмой уязвимости для отправки запроса с использованием подобранного токена аутентификации для совершения операции обновления сервера;
- Сохранение в системе вредоносного скрипта при помощи уязвимости 6;
- Отправка специально оформленного запроса с использованием подобранного токена аутентификации. Через эксплуатацию 5 и 6 уязвимостей инициируется запуск процесса сканирования на наличие вирусов, который приведёт к выполнению подготовленного ранее скрипта с правами root.URL: https://nation.state.actor/mcafee.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=45672
Потрясающе.
Вот что было бы интересно узнать, так это статистику использования этого продукта среди пользователей Linux. Лично я только что узнал о его существовании под эту платформу, но по себе, как известно, не равняют.
Кто им пользуется вообще?
Когда-то он спасал на винде там, где стояла 1с, потому что был легче Касперского. С тех пор прошло лет 10, как обстоят дела теперь - не знаю.
Там где жрет Касперский, спасал DrWeb. А еще DrWeb спасает своей ES версией, т.к. сервер раздающий клиенты работает на всем, начиная от Windows, заканчивая FreeBSD и Solaris. А тот-же касперский под Windows Server заточен.
> жрет КасперскийОчепятка по Фрейду. Имею несчастье наблюдать кошмарского на ряде машин. Оно периодически сжирает грузит систему так, что пользователю ресурсов не остается. Что самое забавное, на этих машинах он совершенно не нужен — у пользователя урезаны права, сменные носители заблокированы, корпоративная почта и корпоративный же сайт. Но "тем кто сверху виднее".
Просто по всяким регламентам, антивирус необходим. И не абы какой, а "сертифицированный".
«Какие ваши доказательства?» ©
Сервера проверки почтового трафика для win пользователей :)
У нас на работе обязательное требование :) Да, даже для Линукса.
Линукс хоть сам и не поражается вендовой заразой (хотя в вайне некоторые вири таки работают), но при наличии расшаренных папок может служить переносчиком оной. Потому и.
Если эта фигня от McAffee встречается на предустановленном компе или ноутбуке сношу нафиг, без неё ноутбуки типа Lenovo и Acer на слабых(a4,a6,e1) процессорах хотя бы начинают работать... В вообще программ бесполезнее антивирусов не видел. толку почти ноль, от вирусов почти не защищают, всегда самым слабым местом в защите является пользователь, да и при этом режим мониторинга вирусов тормозит работу компьютера раз в два: процессор мощнее и диск быстрее, значит антивирус будет просто быстрее и больше проверять файлы, но от этого работать медленнее, слабый проц попадётся, неполезная нагрузка антивируса будет ещё заметнее
Поступаю почти схожим образом, обычно оставляю встроенный в десятке антивирус (если его так можно назвать), но если клиент настаивает, ставлю avast, который, в отличие от MacAffee, развивается.
Сапожник без сандалий...
times new roman завезли?
вам PS Sans не нравится?
> times new roman завезли?
Видимо это был вопрос на тему https://www.linux.org.ru/forum/talks/13073862
т.е. в дистрибутиве альта пиратские шрифты из коробки?
Кхм, похоже, что да
Если бы только шрифты. Там ещё пиписитарные модули ядра (драйверы на видеокарты nvidia) распространяются в собранном виде, что является нарушением лицензии ядра.
Теперь я знаю о его существовании)))
а не надо было криса увольнять!
Касперского?
Тоже на ум пришла только эта фамилия.
да
Все ненавидят Криса.
бэкдор!
Нет, это баги.
Бэкдор у них наверняка без багов работает =).
> Производителю было сообщено о проблеме ещё в июне, но обновление с устранением уязвимости было выпущено только вчера.Зато теперь мы знаем, насколько очередного проприетарщика заботят проблемы клиентов ;)
> обратили внимание на непростительное для профессионального ПО для обеспечения безопасности отношение к собственной защите - процесс выполняется с правами root без сброса привилегий.
А это уже "виндузячьи" привычки.
AV-щиков тыкают носом в глупые ошибки уже не первый год:
http://joxeankoret.com/download/breaking_av_software_44con.pdf
2014 год: noexec, aslr, mprotect -- не, не слышали! Зато свои либы, не умеющие в способы защиты десятилетней+ давности (aslr, pax) в каждый процесс системы заинъектить -- святое дело!
AV софт все так же, как и 15 лет назад, падает от классической Zip-бомбы? Cовсем-совсем скоро исправим! Обещаем торжественно, просто подождите еще немного ... кстати, не забудте лицензию за 20+$/год обновить!
> теперь мы знаем, насколько очередного проприетарщика заботят проблемы клиентов ;)Проблемы проблемами, а исправления по расписанию.
- А нельзя эту строчку - просто выкинуть?!
- Ты чё? Ради нее все и писалось!
Антивирусы - сами угроза для безопасности. Эта проблема уже давно актуальна. Они имеют повышенные привилегии, но многие забывают, что они тоже не идеальны и содержат бреши в безопасности.
Но что же делать?
Повышать собственную техническую грамотность, перестать отдавать предпочтение языкам программирования, которые позволяют с лёгкостью рассовать по коду неочевидные выходы за память (можно даже не тыкать пальцем, все и так знают что за языки это).
Писать ядра, драйверы, загрузчики, линковщики и компиляторы на жаве?
На джаваскрипте
> Повышать собственную техническую грамотность, перестать отдавать предпочтение языкам
> программирования, которые позволяют с лёгкостью рассовать по коду неочевидные выходы за
> память (можно даже не тыкать пальцем, все и так знают что
> за языки это).Oberon?Не?
> отдавать предпочтение языкам программирования, которые позволяют с лёгкостью рассовать по коду неочевидные выходы за память (можно даже не тыкать пальцем, все и так знают что за языки это).Еще один неосилятор, практически в любой книге по сям очень подробно расписывают как нужно работать с памятью чтобы не возникало проблем... Но у нас же одни Поповы которые лучше знают как нужно, потом они же и газифицируют лужи после того как обделались. Семейство сей как пистолет, если ты грамотно и со всей серьезностью подойдешь к изучению станешь отличным стрелком, а если ты идиот то отстрелишь себе...
в каждой книге писано, да не каждый книгу читывает.
Это был выперд в сторону разработчиков OpenBSD?
В сторону неосиляторов "ужс как сложна" языков...
и почему-же ВСЕ так не пишут и оставляют потенциальные лазейки?
> Но что же делать?Запускать ОС с привилегиями пользователя, а все процессы пользователя запускать в нулевом кольце, чтобы он в любой момент мог остановить выполняющиеся процессы и посмотреть что делается!
> Но что же делать?Страдать, вендузоед, страдать.
Антивирусы пишут для внедрения в инфраструктуры чужих предприятий/государст бэкдоров уровня ядра.
Вот так вот начнут выводить все деньги со счетов ваших компаний.
> Антивирусы пишут для внедрения в инфраструктуры чужих предприятий/государст бэкдоров
> уровня ядра.
> Вот так вот начнут выводить все деньги со счетов ваших компаний.Так вот почему у бюджетников денег нет, из-за антивирусов, а я думал кризис и политически неверное руководство :)
Наверно ещё у военных научные роты хакеров проникли в компьютер госдумы с бюджетом и переписали все деньги на себя
есть такое понятие как промышленный шпионаж, ознакомься с ним
кому принадлежит McAffee еще далеко неочевидно
> Антивирусы пишут для внедренияфилантропия:( типа люди идеальны, а программы нет.
Кто там DrWeb рекомендовал? Имел опыт репорта десятка вирусов в него вот с такой захватывающей скоростью: https://twitter.com/odintsov_pavel/status/808436794865946624
Как посчитать два года на двух датах, если первая указывает на 16-й месяц?
> Кто там DrWeb рекомендовал? Имел опыт репорта десятка вирусов в него вот
> с такой захватывающей скоростью: https://twitter.com/odintsov_pavel/status/808436794865946624Я тоже один раз обнаружил некую тварь, которую ни доктор веб, ни касперский не обнрауживали. Отослал им этого зверя в контору. Касперские вообще ничего не ответили, дрвеб ответили, что спасибо, у нас уже он есть, скоро выйдет сигнатура этого вируса. Так что дрвеб хотя бы ответили, реагируют, Касперским некогда, они там наверно вирусы строчат.
Мы однажды заразу подхватили, у нас на виндовом серваке в корне диска С: создавался авторан и исполняемый файл со случайным именем, на который этот авторан указывал. При стирании этого авторана и непосредственно вируса оба через пару минут создавались вновь. Взял вирусняк и отправил Касперскому, Вебу и Симантеку.
Касперский через неделю спросил, есть ли у нас лицензия на их антивирус. Пля. Без покупки ихнего продукта они даже вирусы не принимают в работу. Отличная контора.
ДрВеб через пару недель ответил, что в файле вредоносов не обнаружено. Угу.
Симантек, который у нас был лицензионный, скромно промолчал.
По моему субъективному мнению, не являющееся истиной в последней инстанции, Dr. Web для десктопного Linux - не профессиональный продукт. Включите вкладку со статистикой. Каждую секунду к отсканированным файлам добавляется случайное число. Я так 8-часовой рабочий день ждал - насканировалось больше, чем у меня файлов в системе. top при этом не фиксирует ни-че-го. А ещё "родительский контроль" почему-то назван "брандмауэр", но хоть работает, и ладно. Я бы понял это как ошибку в локализции, но это же российский продукт.И ещё там по-мелочи мне что-то не нравилось. Но эти все недостатки касаются только десктопного продукта. Серверный продукт сделан прямыми руками.
Видимо, ты харей не вышел. Всё, что я им сдавал анализировалось и добавлялось в считанные часы. Правда было это ещё в 2008 году...
Как можно сбросить привилегии с основного процесса? Ведь ему теоретически может потребоваться доступ на чтение/запись к любому файлу в системе.
Антивирусу, который держит оборону системы при действиях пользователя, никакие права сверх тех, которые имеет пользователь, на хрен не нужны.
Но если не давать антивирусу лишних прав - как пристроить свой руткит в систему?
И как быть если в системе работает несколько пользователей одновременно?
Вы же не запускаете файловый менеджер с рут-правами только потому, что с ним могут работать несколько пользователей?
В отличии от файлового менеджера, антивирус вероятно будет использовать перехват системных вызовов для реализации проактивной защиты. Поэтому я исхожу из того что такой процесс должен быть в системе единственным.
К тому же при работе антивируса "от пользователя" кто защитит демонов (пользователи nobody, www-data, ftp, dbus и т.п.)? В домашнем каталоге обычного пользователя и защищать-то практически нечего. Там исполнимого кода может вообще не быть.
Под окошками этот тупиковый путь уже давно пройден.
Антивирус, который обязательно должен знать все, что происходит в системе, чтобы...
Вам когда-нибудь помогала та проактивная защита? Мне - ни разу.
Зато антивирус так занят делом, что все ресурсы машины можно смело делить пополам.
В задницу все оптимизации - тут антивирус работает! Он же защищает... от всего... правда?А потом запускаем программку - а она начинает шифровать все файло пользователя. С правами пользователя и без всякой подозрительной активности. Никакие антивирусы иначе, как по сигнатурам, трояны-шифровальщики все равно не отличают. А если включают эвристику - начинают ругаться на каждую первую незнакомую программу. Но для такого анализа достаточно прав на чтение файлов программы, которая должна исполняться. Которые у пользователя явно есть.
Еще, как мы помним из определения вируса, он размножается. Толку от один раз пойманного и запущенного бота немного, ему надо прописаться в системе. Исполняемые файлы вирусня давно перестала модифицировать (да и недоступны они для записи в нормальных системах). Остаются каталоги, из которых производится - так или иначе - автозапуск. Внезапно, слежение за изменением каталогов в Линуксе есть из коробки, и отдельный демон для этого не нужен. И права рута, насколько я понимаю, тоже...
Ну, а если пользователь поднял себе права и выполняет какие-то действия от рута - тут я за то, чтобы, как это издавна принято в Юниксах, считать, что он знает, что делает. А не пытаться угадать, предотвратить и всячески мешать. Потому что в этом режиме пользователь сам страшнее любого вируса, а уж с "помощью" сверхпопечительного робота может наломать дров по полной программе.
> нахрен не нужныа если легальное прерывание завершается эскалацией привилегий?
> Как можно сбросить привилегии с основного процесса? Ведь ему теоретически может потребоваться
> доступ на чтение/запись к любому файлу в системе.тупизм,зачем ему доступ и проверка тех файлов, в которых по определению нет вирусов, либо они не меняются. Если у файла атрибут, только для чтения, но не исполнения, то зачем их проверять. Вообще одна часть диска или определённые папки должны быть на чтение. У ОС должны быть полномочия, которые запрещает всем или некоторым программам менять или вообще лазить в опредённые папки( тот же мандатный доступ это обеспечивает)..
Сколько было раз когда тот же Касперский объявлял какую-нибудь виндовскую библиотеку заразной и удалял её. В позапрошлом году удалил tcp шную билиотеку...
Я правильно понимаю, что Вы можете предложить архитектуру антивирусной защиты в которой ни один процесс антивируса не имеет прав root?
Могли бы Вы описать некоторые моменты этой архитектуры, а именно:
1) сколько процессов должно быть запущено?
2) как процессы взаимодействуют между собой (если процессов несколько)?
3) какие фунции выполняет каждый из процессов?
4) с правами какого пользователя каждый из процессов работает?
5) как предложенное решение позволяет повысить безопасность системы и/или пользователя, т.е. какие именно угрозы безопасности предложенное решение может предотвратить?
6) способен ли такой антивирус противостоять вредоносному ПО, которому каким-либо образом удалось повысить свои привилегии?
Лет эдак 10 назад сей продукт на Винде потряс меня реализацией, всего чего только можно, через RPC, кучей уязвимостей да кривым оркестратором. Приятно видеть что даже спустя столько лет даже на Linux McAfee продолжает держать марку.
Каждый раз, когда я узнаю о какой-то серъезной проблеме в линукс, я думаю, что более глупой, абсурдной, невозможной проблемы быть не может.
И каждый раз я ошибаюсь.
Рут-уязвимость, через АНТИВИРУС, карл....
> АНТИВИРУСИ еще при этом какой. Дабл килл!
https://www.youtube.com/watch?v=bKgf5PaBzyg
с такими антивирусами и вирусы не нужны