DSecRG предупреждает об опасных возможностях антивирусной системы Касперского.

26 Апреля 2011
Специалисты исследовательского центра Digital Security Research Group (DSecRG) предупреждают администраторов об опасных возможностях антивирусной системы Касперского. Исследователи выявили, что при стандартных настройках Kaspersky Administration Kit возможна компрометация всей сети компании, где используется данное решение. Для того, чтобы злоумышленник мог воспользоваться этой уязвимостью, достаточно, чтобы в сети компании была развернута антивирусная защита Касперского, предназначенная для корпоративного сегмента. Как правило, выделяется центральный сервер, который управляет всеми антивирусными агентами на защищаемых рабочих станциях и серверах. При этом этот сервер выполняет штатные действия по расписанию, которые, в совокупности с неосведомленностью администраторов, позволяют получить административный доступ к любому ресурсу корпоративной сети. DSecRG в рамках своей работы сообщила о проблеме разработчику, в результате чего Лаборатория Касперского выпустила соответствующее уведомление в своей базе знаний - http://support.kaspersky.ru/faq/?qid=208640363.
Однако специалисты DSecRG вынуждены отметить, что данное уведомление не полностью раскрывает суть проблемы. Сотрудники лаборатории Касперского рекомендуют использовать в качестве учётной записи, из-под которой запускается сервис Сервера администрирования, доменную учетную запись, которая является членом группы Локальных Администраторов на компьютере Сервера администрирования. Однако именно из-за этого и могут возникнуть проблемы, так как часто администраторы включают эту учетную запись в группу Локальных Администраторов не только на сервере администрирования, но и на всех защищаемых антивирусом хостах, что и приводит к появлению дыры в защите. Так же исследователи предупреждают, что подобные проблемы могут возникнуть не только с антивирусом Касперского, но и с продуктами других производителей, например, со сканером безопасности GFILANGuard или какой-либо DLP системой, которые также могут использовать привилегированные учетные записи в штатном режиме. Подробное техническое описание проблемы Вы можете получить в информационном сообщении от DSecRG - http://dsecrg.ru/pages/vul/show.php?id=318
Данное исследование проводилось в рамках инициативы исследовательского центра DSecRG по повышению защищённости продуктов российских производителей. В позапрошлом и прошлом году были предприняты первые шаги в этой области, когда DSecRG проанализировали безопасность банк - клиентов. В этом году внимание будет уделено другим критичным для бизнеса приложениям российских производителей.
Дарья Каверина
Digital Security
d.kaverina@dsec.ru