MSE не подвержен атаке KHOBE

хм! а можно более полный список? уж очень интересно!

@Гуляющий_во_Тьме,
К сожалению, создать полный список — это крайне долгий процесс, так как нужно найти все антивирусные программы которые не используют SSDT-захваты. Но как уже сказано в посте 'уязвимости подвержены в основном не антивирусы, а системы HIPS, сетевые экраны с функциями защиты хостового компьютера.'

На форуме forum.online-solutions.ru, нашёл комментарий одного из разработчиков OSSS, который 'рассказывает' об атаке KHOBE:
«Данная идея не принадлежит David Matousec, про эту же методику еще очень давно (5 лет или более назад) писали статьи исследователи под *nix-системы. Так как данная проблема "абстрактная" (теоретическая, фундаментальная). То есть для ее реализации не принципиальна платформа и архитектура при определенных условиях.

К сожалению, найти прямо сейчас примеры этих статей не могу, но постараюсь это сделать в будущем.

Что касается реализации на практике. Конкретно наш продукт мы не тестировали по этому направлению, но чисто теоретически он уязвим при использовании такой методики. Более того, мы даже придумали одну схему, при которой это можно реализовать (не только в нашем продукте, но и в других) не "с определенной вероятностью", а с вероятностью 100%.

В большей степени подвержены риску многоядерные системы (там больше вероятность переключения исполнения в момент перед передачей управления исходной функции). Но в целом, как и написано у David, при умелом игрании приоритетами потоков, можно этого же эффекта достичь и на одноядерных и распространенных системах.

Противодействие этому существует, но его реализация приведет к значительному замедлению функционирования ОС (некоторых возможностей, которые будут контролироваться). Мы проработали несколько возможных вариантов решения проблемы, которые включают:

# общее решение "для всех" (не понижает значительно быстродействие, но решает только часть изложенных проблем - конкретно с подменой строк, то есть это касается загрузки драйверов и любых других объектов, в проверке которых участвуют строки)

# включаемое как дополнительная опция, при "желании", решение для "полной защиты" (в этом случае производительность некоторых функций будет понижена, но при этом полностью будет обеспечена защита от такого рода атак)

# еще одно исследуюемое решение (до конца не проработано), которое решает вопрос в общем случае, но с определенной степенью вероятности (то есть: значительно понижает шансы злоумышленника на успех, тем самым, делая указанную выше атаку бессмысленной или крайне маловероятной; при этом не страдает производительность функций ОС).


В ближайшей бета-версии (v1.6) введение данной защиты не планируется (и, вероятно, в v1.7 тоже - но про это точно сказать не могу в данный момент). Это связано с тем, что на ближайшие итерации уже есть намеченные планы (это и работа с SCM, и работа над x64-версией, и доработка онлайн-сервиса). Ситуация может измениться при изменении внешних обстоятельств.

Проведение данной атаки сопряжено с предварительными действиями иного характера, которые контролируются OSSS. Поэтому практическое (а не академическое) ее применение крайне затруднено в реальной жизни. В связи с этим, на данный момент я бы не "пугал" пользователей, что "все пропало, защиты нет".

Плюс к этому, практическая реализация не опубликована, и в данный момент не существует вредоносных программ, использующих данную технику. (На практике это может измениться в обозримом будущем, но по опыту, обычно технологии используются не сразу - например, тот же bootkit был опубликован в исходниках очень давно, как PoC, а стал использоваться в реальных вредоносных программах [те же исходники] через 1-2 года; плюс см. первый абзац о том, что информация находится на самом деле в public domain не менее 5 лет, просто, возможно, с чуть меньшим вниманием и конкретизацией "списком продуктов").

Публикация этой информации полезна для развития индустрии, но не должна вызывать паники или близких к этому состояний.»