Уязвимость в Kaspersky Embedded Systems Security, которая позволяет ограбить банк

    В программном продукте «Лаборатории Касперского» Kaspersky Embedded Systems Security для защиты встроенных систем обнаружена уязвимость. Уязвимость находится в версиях 1.1. и 1.2, в компоненте Application Control.

    Программный продукт, установленный на банкомате, был протестирован сотрудником Positive Technologies. Уязвимость позволяет установить в систему банкомата постороннее программное обеспечение, благодаря которому банкомат сможет выдать злоумышленнику все деньги.

    Преступник через уязвимость вызывает перегрузку сервиса Kaspersky Embedded Systems Security, в результате чего сервис не может вовремя обрабатывать запросы на проверку запуска файлов. Поэтому злоумышленник с легкостью запускает в системе банкомата сторонние приложения через сеть или со съемного носителя. Так можно заразить систему, снять с банкомата деньги, а также повысить уровень привилегий.

    Уязвимость позволяет хакеру обойти принцип «белого списка», по которому работает банкомат. Этот принцип подразумевает, что банкомат разрешает запускать только проверенные программы. Хакер, в свою очередь, дописывает большой объем произвольных данных в конце исполняемого файла, а потом два раза запускает его исполнение. По словам  Георгия Зайцева, исследователя кибербезопасности, который обнаружил уязвимость, сначала вычисляется хеш-сумма файла, на основе которого принимается решение о разрешении или запрете его запуска. Если файл достаточно большой, процесс занимает больше времени, чем требуется для проверки. Поэтому когда истекает выделенный срок, файл исполняется.

    Между тем Kaspersky Embedded Systems Security сохраняет хеш-сумму с целью дальнейшего использования готового результата. Поэтому если файл запускается снова, такой способ обхода уже не подойдет. В таком случае злоумышленник осуществляет одновременный запуск большого количества копий одного приложения, в результате чего он зависнет, и хакер сможет исполнить файл, который не относится к «белому списку».

    В «Лаборатории Касперского» сообщили, что 23 июня выпустили обновление, ликвидировавшее уязвимость.