Значимость защиты на клиентском компьютере
Во время написания поста стало известно, что уязвимость "authplay.dll", обнаруженная в Adobe Flash Player, Acrobat Reader и Acrobat, эксплуатируется зловредами из списка "in-the-wild". В своем докладе об уязвимостях формата PDF на саммите вирусных аналитиков на Кипре Роул Шоуэнберг также подчеркнул важность защиты на клиентском компьютере. На PH-neutral, ежегодной неформальной встрече специалистов по IT-безопасности в Берлине, Юлия Вольф (Julia Wolf) рассказала о создании и парсинге PDF-файлов. Безопасность на стороне клиента представляет собой огромную проблему, с которой подчас сложно совладать, поскольку большая часть автоматических инструментов обновления попросту не поддерживает стороннее ПО.
Работая в области аудита безопасности и выполняя проверку защиты систем от несанкционированного доступа, я понял одну важную вещь: большинство организаций и компаний уделяют основное внимание безопасности на стороне сервера, укрепляя линию обороны в лице продвинутого межсетевого экрана, а также инструментов безопасности внешних активов и демилитаризованной зоны, но при этом полностью забывая про защитные решения на рабочих станциях.
Аудит безопасности, проводимый в компаниях, чаще всего ограничивается проверкой ресурсов, находящихся в общем доступе — сети, почты и хранилищ данных, а также некоторых внутренних ресурсов, таких как базы данных. Похоже, все усилия по поддержанию безопасности сосредотачиваются на защите вебсайтов, а о безопасности клиентов предпочитают забыть. Системные администраторы зачастую полагают, что встроенная функция обновления полностью обеспечивает своевременность установки патчей. Однако стандартные инструменты обновления часто страдают тем, что не покрывают сторонние программы, такие как программы для чтения PDF-файлов, флэш-плееры, медиаплейеры, почтовые клиенты и т.д. И именно эти бреши часто эксплуатируются вредоносными программами. Такие бреши не закрываются даже встроенными инструментами обновления, поскольку для таких уязвимостей не выпущены патчи. «Лаборатория Касперского» прикладывает много усилий, чтобы эвристика была в состоянии распознать подобные угрозы — в данном случае уязвимость успешно распознается продуктами «Лаборатории Касперского», и наши клиенты защищены от данной угрозы. Когда угроза только начала распространяться в дикой среде, у «Лаборатории Касперского» не было соответствующей сигнатуры, но эвристическими компонентами в составе продуктов угроза распознавалась как HEUR:Exploit.Script.Generic. Сейчас она распознается как Exploit.JS.Pdfka.ckq.
Дата публикации: 16, Июня 2010 г.
Источник: Лаборатория Касперского
