Agnitum Outpost Security Suite 2行プロアクティブバイパス

私は以前にこれを述べ 、ビデオデモを共有しましたが、詳細は明らかにしませんでした。 残念ながら、開発者はボルトを獲得し 、問題に関する私の手紙に返信しませんでした（私の申し立ては2012年10月2日に番号sb-ru-02-121000048-tで登録されました）。 そこで、すべての技術的な詳細を表示することにしました。 次のビデオデモは、ゼロデイショーの一部としてZeroNights 2012で初めて公開されました 。

背景

このような脆弱性は、しばしばランダムに発見されます。 私の場合も例外ではありません。 朝の12時に、満月に Outpost Security Suiteを自分用に設定し、アクティベーションを最大モードに設定しました。 このモードでは、挿入された新しいUSBフラッシュドライブも、ウイルス対策ポップアップウィンドウでいくつかのアクションを許可するまでシステムにマウントされません。 いつものように、新しいフラッシュドライブを挿入すると、アンチウイルスからポップアップウィンドウが表示されましたが、インストールに同意しませんでした。 そして、通常の方法で、彼はコンピューター（Win + Lキー）をブロックし、数分間放置しました。 私が戻ったときの驚きは何でしたか、フラッシュドライブがまだシステムにマウントされていることがわかりました！ そして、ここから楽しみが始まりました...

問題の本質

トレーニングモードでは、Outpostプロアクティブな保護は、プログラムの疑わしいアクティビティを検出すると、ユーザーにアクションを要求します。 ただし、このようなダイアログメッセージの終了後にロックが発生した場合（Win + Lキーを押すと何が起こるか）、ウイルス対策の場合、これは解決と同等です。



このプロセスの自動化は、次の2行で構成されるbatファイルで表すことができます。



start 1.exe





ping 127.0.0.1 -n 10 -w 10000 > NULL & rundll32.exe user32.dll,LockWorkStation







遅延のためにPingが必要です（ より洗練された解決策はありますが ）。その後、Lockコマンドが実行されます（ rundll32.exe user32.dll,LockWorkStation



）。

つまり、1.exeファイルを実行し、数秒待って（ウイルス対策がウィンドウを表示するように）ロックを実行します。

さらに、ロックを使用すると、ウイルス対策アイコンが青から緑にどのように変化するかを確認できます。 これは、トレーニングモードから許可モードに移行することを意味します（禁止されていないものはすべて許可されます）。 これは保護システムを弱めます。 たとえば、明らかにオンラインへのアクセスが禁止されていないプログラムは外に出ます。 ログインすると、アイコンは青に戻ります。 （ UPD ：これは古いバージョン（6.0）にありました。最近のバージョンではロックモードになりますが、これは保護をまったく弱めません。 これについての彼のコメントに感謝します ）

デモンストレーション

デモンストレーションの本質：

1. システムに「test test test service」サービスがないことを確認します（停止しようとすると、システムはそのようなサービスがないと答えます）
2. bat-fileを実行します（サービスインストーラーが実行されます）
3. DebugViewerを介して、ドライバーがシステムロックの前ではなく開始したことがわかります。
4. 再度、「test test test service」というサービスを停止しようとします。 今回は正常に。

Agnitum Outpost Security Suiteの次のバージョンの脆弱性がテストされました。

1. 7.5.3（3942.608.1810）
2. 7.6（3984.693.1842）

Upd （ 2012年12月18日 ）メーカーは、2012年12月17日付のバージョン8.0（4164.652.1856）の脆弱性を修正しました。