Cercetătorul constată vulnerabilități critice în produsul antivirus Sophos

Cercetătorul de securitate Tavis Ormandy a descoperit vulnerabilități critice ale produsului antivirus dezvoltat de firma de securitate Sophos din Marea Britanie și a sfătuit organizațiile evitați utilizarea produsului pe sistemele critice, cu excepția cazului în care vânzătorul își îmbunătățește dezvoltarea produselor, asigurarea calității și practicile de răspuns la securitate.

Ormandy, care lucrează ca inginer de securitate al informației la Google, a dezvăluit detalii despre vulnerabilitățile pe care le-a găsit într- Sophail: Atacurile aplicate împotriva lui Sophos Anti virus ", care a fost publicat luni. Ormandy a remarcat că cercetarea a fost efectuată în timpul său liber și că opiniile exprimate în lucrare sunt ale lui și nu cele ale angajatorului său.

Lucrarea conține detalii despre mai multe vulnerabilități din codul antivirus Sophos responsabil pentru analiza Visual Basic 6, Fișiere PDF, CAB și RAR. Unele dintre aceste defecte pot fi atacate de la distanță și pot conduce la executarea unui cod arbitrar în sistem.

[A se citi lectură: Cum să eliminați malware-ul de pe PC-ul dvs. de Windows]

Ormandy a inclus chiar o exploatație dovada a conceptului pentru vulnerabilitatea în parsarea PDF, pe care o pretinde că nu are nevoie de interacțiune cu utilizatorul, fără autentificare și poate fi ușor transformată într-un vier care se răspândește.

Cercetătorul a construit exploatarea pentru versiunea Mac a Sophos antivirus, dar a remarcat că vulnerabilitatea afectează Versiunile Windows și Linux ale produsului și ale exploatării pot fi ușor traduse pe acele platforme.

Vulnerabilitatea parsarea PDF poate fi exploatată prin primirea unui e-mail în Outlook sau Mail.app, a spus Ormandy în lucrare. Deoarece antivirusul Sophos interceptează automat operațiile de intrare și ieșire (I / O), deschiderea sau citirea e-mailului nu este chiar necesară.

"Scenariul cel mai realist de atac pentru un vierme de rețea global este auto-propagarea prin e-mail", a spus Ormandy. "Utilizatorii nu trebuie să interacționeze cu e-mailul, deoarece vulnerabilitatea va fi exploatată automat."

Cu toate acestea, sunt posibile și alte metode de atac, de exemplu, prin deschiderea oricărui fișier de orice tip furnizat de un atacator; vizitând o adresă URL (chiar și într-un browser cu mediul fără fir) sau încorporând imagini utilizând URL-urile MIDI cid: URL-uri într-un e-mail care se deschide într-un client webmail, a spus cercetătorul. "Orice metodă pe care un atacator o poate folosi pentru a provoca I / O este suficientă pentru a exploata această vulnerabilitate."

Ormandy a constatat că o componentă denumită "BOPS" adresa de spațiu de adrese randomization) exploatează caracteristica de atenuare a tuturor versiunilor Windows care o acceptă în mod implicit, inclusiv Vista și mai târziu.

"Este pur și simplu inexplicabil să dezactivați sistemul ASLR la fel ca acesta, mai ales pentru a vinde o alternativă naivă clienților mult mai scazut decat cel furnizat de Microsoft ", a spus Ormandy.

O componenta a listei negre a site-ului pentru Internet Explorer instalata de Sophos antivirus anuleaza protectia oferita de functia Protected Mode a browserului, a spus cercetatorul. În plus, șablonul utilizat pentru afișarea avertismentelor de către componenta listă neagră introduce o vulnerabilitate universală de scripting pentru site-uri, care învinge politica de origine a browserului.

Politica de origine identică este "unul dintre mecanismele fundamentale de securitate care fac internetul sigur utilizare ", a spus Ormandy. "Cu politica de origine identică, un site rău intenționat poate interacționa cu sistemele dvs. de poștă electronică, intranet, registratoare, bănci și sisteme de salarizare și așa mai departe".

Comentariile lui Ormandy în toată lucrarea sugerează că multe dintre aceste vulnerabilități ar fi trebuit să fie prinse în timpul proceselor de dezvoltare a produselor și de asigurare a calității.

Cercetătorul și-a împărtășit constatările cu Sophos în avans și compania a lansat soluții de securitate pentru vulnerabilitățile descrise în lucrare. Unele dintre remedierile au fost lansate pe 22 octombrie, în timp ce altele au fost lansate pe 5 noiembrie, compania a declarat luni într-un post pe blog.

Există încă câteva probleme potențial exploatate descoperite de Ormandy prin fuzzing - o testare de securitate care au fost împărtășite cu Sophos, dar nu au fost dezvăluite public. Aceste probleme sunt in curs de examinare si fixe pentru acestea vor incepe sa fie lansate pe 28 noiembrie, compania a spus.

"Ca o companie de securitate, pastrarea clientilor in siguranta este principala responsabilitate a Sophos", a spus Sophos. "Prin urmare, experții Sophos investighează toate rapoartele de vulnerabilitate și pun în aplicare cel mai bun mod de acțiune în cel mai scurt timp posibil."

"Este bine că Sophos a reușit să livreze suita de remedii în câteva săptămâni și fără a perturba clienții "operațiuni obișnuite", a declarat Graham Cluley, consultant senior la Sophos, prin email. "Suntem recunoscatori ca Tavis Ormandy a gasit vulnerabilitatile, deoarece acest lucru a ajutat la imbunatatirea produselor Sophos". Ormandy insa nu a fost multumit de timpul pe care Sophos la facut pentru a patch-uri vulnerabilitatile critice pe care le-a raportat. Problemele au fost raportate companiei la data de 10 septembrie.

"Ca răspuns la accesul timpuriu la acest raport, Sophos a alocat unele resurse pentru a rezolva problemele discutate, cu toate acestea au fost în mod clar prost echipate pentru a face față producției un cercetător de securitate cooperativ, non-contradictoriu ", a spus Ormandy. "Un atacator sofisticat, sponsorizat de stat sau puternic motivat, ar putea distruge cu ușurință întreaga gamă de utilizatori Sophos." "Sophos susține că produsele lor sunt desfășurate în întreaga sănătate, guvern, finanțe și chiar militare", a spus cercetătorul. "Haosul pe care un atacator motivat le-ar putea provoca acestor sisteme este o amenințare globală realistă. Din acest motiv, produsele Sophos ar trebui luate în considerare doar pentru sisteme non-critice cu valoare scăzută și niciodată dislocate în rețele sau medii unde un compromis complet al adversarilor ar fi incomod. "

Lucrarea lui Ormandy conține o secțiune care descrie cele mai bune practici și include recomandările cercetătorilor pentru clienții Sophos, precum implementarea unor planuri de urgență care să le permită să dezactiveze instalațiile antivirus Sophos în scurt timp.

"Sophos nu poate reacționa suficient de repede pentru a preveni atacurile, chiar și atunci când a prezentat un exploit de lucru", a spus el. "Dacă un atacator alege să folosească Sophos Antivirus drept conducte în rețeaua dvs., Sophos pur și simplu nu va fi capabil să împiedice continuarea intruziunii lor de ceva timp și trebuie să implementați planuri de urgență pentru a face față acestui scenariu dacă alegeți să continuați să desfășurați Sophos".