Специалисты компании enSilo нашли серьезную проблему, которая оказалась общей для продуктов сразу нескольких антивирусных компаний. Уязвимость позволяет злоумышленнику с легкостью миновать все встроенные средства защиты Windows. Хотя крупные производители уже выпустили исправления, баг может быть по-прежнему актуален для других программ.
Впервые специалисты enSilo заметили проблему в марте 2015 года, когда столкнулись с AVG Internet Security 2015, установленным в системе одного из клиентов компании. Анализ показал, что антивирус распределяет страницы памяти, используя RWX (Read, Write, Execute) и постоянную предсказуемую адресацию. Этот баг может значительно упростить злоумышленнику обход механизмов защиты Windows и последующую эксплуатацию уязвимостей в сторонних приложениях.
«Microsoft встроила в Windows различные механизмы защиты от эксплоитов, к примеру, рандомизацию памяти (ASLR) или функцию предотвращения выполнения данных (DEP). Но когда страницы виртуальной памяти имеют постоянный и предсказуемый адрес, атакующий может узнать, куда именно записать код и откуда его исполнить, — разъясняют в блоге специалисты enSilo. — Из-за использования RWX в системе может быть исполнен вредоносный код, а значит все барьеры, возведенные Windows на пути злоумышленников, оказываются бесполезными».
Специалисты компании полагают, что эта проблема затрагивает не только антивирусы. Баг также могут содержать программы для мониторинга производительности или решения призванные защищать от утечек данных.
Компании AVG, Intel Security и «Лаборатория Касперского» уже отчитались об успешном устранении проблемы в своих продуктах. Но эксперты enSilo не советуют расслабляться и предостерегают пользователей, напоминая, что другие программы тоже могут быть уязвимы. Компания выпустила специальную утилиту, которая поможет отыскать небезопасные приложения в системе. Хотя инструмент не способен автоматически выявить уязвимую программу, он предоставит пользователю развернутую информацию о том, откуда начинать копать.
