Опасное приложение для безопасности
Исследовательская компания Synopsys Cybersecurity Research Center обнаружила опасную брешь в программном обеспечении Kaspersky Secure Connection «Лаборатории Касперского», подвергающую пользователей риску взлома. Уязвимость позволяет хакерам локально повысить свои права на пользовательском устройстве и потенциально спровоцировать удаление важных файлов в ОС.
Kaspersky Secure Connection позволяет пользователям скрывать свое пребывание в Интернете путем подмены IP-адреса. Это обеспечивает, помимо конфиденциальности и безопасности, еще и открытый доступ ко всем запрещенным сайтам в интернете.
Обнаруженная экспертами Synopsys брешь получила индекс CVE-2022-27535 и высокий уровень опасности. В этом плане она имеет 7,8 балла из 10 возможных. Представители «Лаборатории Касперского» сообщили CNews, что по калькулятору CVSS она набирает 5 баллов, а это соответствует среднему уровню опасности. «Мы направили исследователям из Synopsys запрос о корректировке уровня», – сообщили CNews представители «Лаборатории Касперского».
Касается не всех
Kaspersky Secure Connection – это мультиплатформенное решение. На момент выхода материала приложение было доступно почти на всех самых популярных ОС в мире.
В сфере мобильных устройств ПО «Лаборатории Касперского» можно установить на гаджеты под управлением ОС Google Android и Apple iOS, а те, кто предпочитает анонимный веб-серфинг на компьютере, могут воспользоваться Kaspersky Secure Connection на ПК под Windows или macOS. Поддержка Linux пока не реализована.
Уязвимость CVE-2022-27535 присутствует лишь в версии Kaspersky Secure Connection под Windows. В сборках для других платформ эта проблема не фигурирует.
Скрытая угроза
Брешь CVE-2022-27535 специалисты Synopsys выявили в компоненте «Инструменты поддержки» в составе Kaspersky Secure Connection. По словам представителей «Лаборатории Касперского», проэксплуатировавший эту уязвимость хакер может удалить произвольные файлы на компьютере жертвы, в частности, системные файлы, без которых Windows не сможет корректно функционировать.
Однако уничтожить содержимое накопителя в фоновом режиме злоумышленник не сможет – без участия пользователя это невозможно. «Чтобы выполнить эту атаку, злоумышленник должен создать определенный файл и убедить пользователя выполнить команду в приложении “Удалить все служебные данные и отчеты” или “Сохранить отчет на вашем компьютере”». Обе эти команды находятся в меню «Инструменты поддержки».
Крайне простое решение
К моменту выхода материала специалисты «Лаборатории Касперского» закрыли уязвимость CVE-2022-27535. Редакция CNews обратилась к представителям компании с вопросом о том, когда именно к ним поступила информация о данной проблеме, и ожидает ответа.
По информации Synopsys, ее эксперты уведомили «Касперского» об уязвимости еще в первых числах марта 2022 г. Разработчики признали факт наличия проблемы 28 мая 2022 г. На подготовку устраняющего ее патча потребовалось еще около двух месяцев. Заявление о решении проблемы появилось на сайте «Лаборатории Касперского» 4 августа 2022 г.
По данным Synopsys, брешь появилась в Kaspersky Secure Connection версии 21.3.10.391 и затем проникла и в более поздние релизы. На сайте «Касперского» указано, что это касается всех версий приложения, вплоть до 21.6.
Защитить себя от взлома пользователи Kaspersky Secure Connection могут путем обновления утилиты до более свежей версии. В релизе 21.7.7.393, по информации Synopsys, «дыры» уже нет (представители «Касперского» утверждают, что безопасные версии начинаются с 21.6).
Сервис, избежавший блокировки
В России в последние годы участились случаи блокировки сервисов анонимного серфинга и доступа к запрещенным ресурсам. Например, в июне 2021 г. под санкции попали Opera VPN и VyprVPN. Спустя год в аналогичной ситуации оказались Nord VPN и Proton VPN.
Между тем, еще весной 2019 г. Роскомнадзор потребовал от подобного рода сервисов не пускать россиян на заблокированные в стране сайты. Соответствующие уведомления получили владельцы сервисов Kaspersky Secure Connection, NordVPN, Hide my Ass, Hola VPN, Vypr VPN, ExpressVPN, TorGuard, IPVAnish и VPN Unlimited. Как сообщал CNews, «Лаборатория Касперского» в числе первых пообещала соблюдать новое требование регулятора.
Что касается безопасности Kaspersky Secure Connection, то CVE-2022-27535 – не единственная найденная в нем уязвимость. Так в апреле 2018 г. в мобильной версии утилиты с индексом 1.4.0.216 была обнаружена проблема – приложение направляло запросы к DNS-серверам в обход защищенного «туннеля», специально создаваемого для передачи данных в зашифрованном виде при активации сервиса. Баг, который мог привести к деанонимизации всех пользователей сервиса, устранили в июне 2018 г.
В декабре 2019 г. в Kaspersky Secure Connection была выявлена уязвимость CVE-2019-15689. Злоумышленники могли воспользоваться ею для запуска неавторизованного исполняемого файла без цифровой подписи.
Дополнение
После публикации этого материала «Лаборатория Касперского» прислал в редакцию CNews комментарий, который мы приводим целиком.
«"Лаборатория Касперского" исправила уязвимость в продукте Kaspersky Secure Connection. Чтобы реализовать теоретическую атаку с использованием этой бреши, злоумышленник должен был создать «символическую ссылку» (объект файловой системы, содержащий путь к файлу или каталогу) и убедить пользователя запустить в продукте функцию «Удалить все данные сервиса и отчёты». Только после этого злоумышленник с правами пользователя ОС потенциально мог удалять файлы в системе на ПК. Это могло бы привести к нарушениям в работе устройства или удалению важных для корректной работы системы файлов.
Уязвимость была обнаружена в версиях Kaspersky Secure Connection до 21.6. «Лаборатория Касперского» рекомендует пользователям обновиться и установить новейшую версию решения.
Мы хотим поблагодарить исследователя Зишан Шейх (Zeeshan Shaikh), который обнаружил уязвимость и сообщил нам о ней.»
Поделиться