Новости → MSE не подвержен атаке KHOBE
Microsoft Security Essentials (MSE), антивирусное решение редмондской компании, является одним из программных продуктов, которые не подвержены недавно обнаруженной атаке KHOBE, с помощью которой злоумышленники могут отключить антивирусную защиту в Windows. MSE не использует SSDT-захваты, поэтому его нельзя отключить подобным способом.
Когда впервые был опубликован отчет о методе, в списке приложений, подвержен такой уязвимости, MSE не было, поэтому специалисты из Ars Technica решили обратиться в Microsoft за разъяснениями.
"Microsoft в курсе исследований Matousec и занимается изучением проблемы" - заявил представитель компании. "Отталкиваясь от доступной информации, мы можем сказать, что наш продукт не может быть отключен таким методом ввиду природы защиты MSE в реальном времени."
Параллельно они обратились к источнику и получили следующий ответ: "Да, MSE не использует захваты и поэтому не может быть атакован с помощью техники KHOBE" - подтвердил пресс-секретарь Matousec. "Читатели различных сетевых секьюрити-изданий могут быть введены в заблуждение заявлениями о том, что методу KHOBE подвержены все антивирусные продукты, но они упустили самый важный момент - уязвимы лишь те продукты, в которых реализован захват.
Лишь в некоторых продуктах реализованы захваты, однако большинство антивирусных решений их не использует. Более того, уязвимости подвержены в основном не антивирусы, а системы HIPS [Host Intrusion Prevention System - система защиты от проникновения], сетевые экраны с функциями защиты хостового компьютера."
"Microsoft обратилась к Matousec и представители компании подтвердили, что Microsoft Security Essentials и продукты семейства Forefront Client Security не подвержены технике KHOBE по причине дизайна системы защиты в реальном времени" - сообщил нам пресс-секретарь Microsoft.
Microsoft очень давно призывает разработчиков секьюрити-решений отказаться от использования патчей ядра, поэтому было бы глупо, если бы Microsoft использовала их в собственном продукте. Более того, техники самозащиты, реализуемые с помощью захватов, вообще не используются в продуктах компании. Следует отметить, что Microsoft прислушалась к вендорам и реализовала в Windows Vista и Windows 7 несколько документированных методов с целью позволить обеспечить механизмы самозащиты. К сожалению, нет ничего, что могло бы заставить разработчиков отказаться от старых методов в пользу новых, тем более, что старые методы работают и в новых версиях Windows.
И именно по этой причине список уязвимых продуктов такой большой. Matousec регулярно обновляет список и на момент публикации статьи в нем было 35 уязвимых продуктов. Еще одна победа для MSE, который получает исключительно положительные отзывы с момента своего релиза.
Хочу подчеркнуть, что Microsoft Security Essentials не единственный антивирус который не уязвим к атаке KHOBE, он лишь один из тех программных продуктов который не использует SSDT-захваты и самое главное, большинство антивирусных решений их не использует.
Когда впервые был опубликован отчет о методе, в списке приложений, подвержен такой уязвимости, MSE не было, поэтому специалисты из Ars Technica решили обратиться в Microsoft за разъяснениями.
"Microsoft в курсе исследований Matousec и занимается изучением проблемы" - заявил представитель компании. "Отталкиваясь от доступной информации, мы можем сказать, что наш продукт не может быть отключен таким методом ввиду природы защиты MSE в реальном времени."
Параллельно они обратились к источнику и получили следующий ответ: "Да, MSE не использует захваты и поэтому не может быть атакован с помощью техники KHOBE" - подтвердил пресс-секретарь Matousec. "Читатели различных сетевых секьюрити-изданий могут быть введены в заблуждение заявлениями о том, что методу KHOBE подвержены все антивирусные продукты, но они упустили самый важный момент - уязвимы лишь те продукты, в которых реализован захват.
Лишь в некоторых продуктах реализованы захваты, однако большинство антивирусных решений их не использует. Более того, уязвимости подвержены в основном не антивирусы, а системы HIPS [Host Intrusion Prevention System - система защиты от проникновения], сетевые экраны с функциями защиты хостового компьютера."
"Microsoft обратилась к Matousec и представители компании подтвердили, что Microsoft Security Essentials и продукты семейства Forefront Client Security не подвержены технике KHOBE по причине дизайна системы защиты в реальном времени" - сообщил нам пресс-секретарь Microsoft.
Microsoft очень давно призывает разработчиков секьюрити-решений отказаться от использования патчей ядра, поэтому было бы глупо, если бы Microsoft использовала их в собственном продукте. Более того, техники самозащиты, реализуемые с помощью захватов, вообще не используются в продуктах компании. Следует отметить, что Microsoft прислушалась к вендорам и реализовала в Windows Vista и Windows 7 несколько документированных методов с целью позволить обеспечить механизмы самозащиты. К сожалению, нет ничего, что могло бы заставить разработчиков отказаться от старых методов в пользу новых, тем более, что старые методы работают и в новых версиях Windows.
И именно по этой причине список уязвимых продуктов такой большой. Matousec регулярно обновляет список и на момент публикации статьи в нем было 35 уязвимых продуктов. Еще одна победа для MSE, который получает исключительно положительные отзывы с момента своего релиза.
Хочу подчеркнуть, что Microsoft Security Essentials не единственный антивирус который не уязвим к атаке KHOBE, он лишь один из тех программных продуктов который не использует SSDT-захваты и самое главное, большинство антивирусных решений их не использует.