Ο ερευνητής βρίσκει κρίσιμα τρωτά σημεία στο προϊόν Antivirus της Sophos

Ο ερευνητής ασφαλείας Tavis Ormandy ανακάλυψε κρίσιμα τρωτά σημεία στο προϊόν προστασίας από ιούς που ανέπτυξε η βρετανική εταιρία ασφάλειας Sophos. αποφεύγετε τη χρήση του προϊόντος σε κρίσιμα συστήματα, εκτός και αν ο πωλητής βελτιώσει την ανάπτυξη προϊόντων, την εξασφάλιση της ποιότητας και τις πρακτικές απόκρισης ασφαλείας

Ο Ormandy, ο οποίος εργάζεται ως μηχανικός ασφάλειας πληροφοριών στην Google, αποκάλυψε λεπτομέρειες για τις ευπάθειες που βρήκε σε ερευνητική εργασία με τίτλο " Sophail: Εφαρμοσμένες επιθέσεις εναντίον του Sophos Anti virus "που δημοσιεύθηκε τη Δευτέρα. Ο Ormandy σημείωσε ότι η έρευνα διεξήχθη στον ελεύθερο χρόνο του και ότι οι απόψεις που εκφράζονται στο έγγραφο είναι δικές του και όχι εκείνες του εργοδότη του.

Το έγγραφο περιέχει λεπτομέρειες για διάφορα τρωτά σημεία του κώδικα antivirus της Sophos που είναι υπεύθυνος για την ανάλυση της Visual Basic 6, Αρχεία PDF, CAB και RAR. Ορισμένα από αυτά τα ελαττώματα μπορούν να επιτεθούν από απόσταση και να οδηγήσουν στην εκτέλεση αυθαίρετου κώδικα στο σύστημα.

[Περισσότερες πληροφορίες: Πώς να αφαιρέσετε κακόβουλο λογισμικό από τον υπολογιστή σας με Windows]

Η Ormandy συμπεριέλαβε ακόμη και μια εκμετάλλευση αποδεικτικών στοιχείων για την ευπάθεια ανίχνευσης PDF, την οποία ισχυρίζεται ότι δεν απαιτεί αλληλεπίδραση με το χρήστη, χωρίς έλεγχο ταυτότητας και μπορεί εύκολα να μετατραπεί σε αυτοδιαβροχοποιητικό σκουλήκι.

Ο ερευνητής δημιούργησε την εκμετάλλευση για την έκδοση Mac του Sophos antivirus, αλλά σημείωσε ότι η ευπάθεια επηρεάζει Οι εκδόσεις των Windows και Linux του προϊόντος και του εκμεταλλευτή μπορούν εύκολα να μεταφραστούν σε αυτές τις πλατφόρμες.

Η ευπάθεια ανάγνωσης αρχείων PDF μπορεί να εκμεταλλευτεί απλά και μόνο με τη λήψη ενός μηνύματος ηλεκτρονικού ταχυδρομείου στο Outlook ή στο Mail.app, δήλωσε ο Ormandy. Επειδή το antivirus Sophos αναστέλλει αυτόματα τις λειτουργίες εισόδου και εξόδου (I / O), το άνοιγμα ή η ανάγνωση του μηνύματος ηλεκτρονικού ταχυδρομείου δεν είναι ακόμη απαραίτητο.

"Το πιο ρεαλιστικό σενάριο επίθεσης για ένα σκουλήκι παγκόσμιου δικτύου είναι αυτο-διάδοση μέσω ηλεκτρονικού ταχυδρομείου", δήλωσε ο Ormandy. "Δεν απαιτείται από τους χρήστες να αλληλεπιδρούν με το μήνυμα ηλεκτρονικού ταχυδρομείου, καθώς η ευπάθεια θα εκμεταλλευτεί αυτόματα."

Ωστόσο, είναι επίσης δυνατές και άλλες μέθοδοι επίθεσης - για παράδειγμα ανοίγοντας οποιοδήποτε αρχείο οποιασδήποτε μορφής παρέχεται από έναν εισβολέα. επισκεφθείτε μια διεύθυνση URL (ακόμα και σε ένα browser με "sandboxed") ή ενσωματώνοντας εικόνες χρησιμοποιώντας τις διευθύνσεις URL MIDI cid: σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που ανοίγει σε ένα webmail client, δήλωσε ο ερευνητής. "Οποιαδήποτε μέθοδος ένας εισβολέας μπορεί να χρησιμοποιήσει για να προκαλέσει την είσοδο / έξοδο είναι αρκετή για να εκμεταλλευτεί αυτή την ευπάθεια."

Η Ormandy διαπίστωσε επίσης ότι ένα στοιχείο που ονομάζεται "Buffer Overflow Protection System" (BOPS) που είναι συνδεδεμένο με το Sophos antivirus, απενεργοποιεί την ASLR (9)> "Είναι απλά αδιανόητο να απενεργοποιήσετε αυτό το σύστημα ASLR όπως αυτό, ειδικά για να πουλήσετε μια απλή εναλλακτική λύση στους πελάτες που είναι λειτουργικό φτωχότερο από εκείνο που παρέχεται από τη Microsoft ", ανέφερε ο Ormandy.

Μια συνιστώσα μαύρης λίστας για τον Internet Explorer εγκατεστημένη από το Sophos antivirus ακυρώνει την προστασία που προσφέρει η λειτουργία Προστατευόμενης Λειτουργίας του προγράμματος περιήγησης. Επιπλέον, το πρότυπο που χρησιμοποιείται για την εμφάνιση προειδοποιήσεων από τη συνιστώσα μαύρης λίστας εισάγει μια καθολική ευπάθεια δέσμης ενεργειών μεταξύ ιστοτόπων που καταστρέφει την Πολιτική Ίδιας Προέλευσης του προγράμματος περιήγησης.

Η Πολιτική Ίδιας Προέλευσης είναι ένας από τους βασικούς μηχανισμούς ασφαλείας που καθιστούν το Διαδίκτυο ασφαλές χρήση, "είπε ο Ormandy. "Με την αποτυχία της Πολιτικής Ίσας Προέλευσης, ένας κακόβουλος ιστότοπος μπορεί να αλληλεπιδράσει με τα συστήματά σας Mail, Intranet, Registrar, Banks and Payroll κ.ο.κ."

Τα σχόλια της Ormandy σε ολόκληρη την εφημερίδα υποδεικνύουν ότι πολλά από αυτά τα τρωτά σημεία κατά τη διαδικασία ανάπτυξης προϊόντων και διασφάλισης ποιότητας

Ο ερευνητής μοιράστηκε τα ευρήματά του με την Sophos εκ των προτέρων και η εταιρεία δημοσίευσε ενημερώσεις ασφαλείας για τις ευπάθειες που περιγράφονται στο έγγραφο. Ορισμένες από τις διορθώσεις κυκλοφόρησαν στις 22 Οκτωβρίου, ενώ οι υπόλοιπες κυκλοφόρησαν στις 5 Νοεμβρίου, όπως ανακοίνωσε η εταιρεία τη Δευτέρα σε μια δημοσίευση στο blog.

Υπάρχουν ακόμα κάποια πιθανά εκμεταλλεύσιμα ζητήματα που ανακαλύφθηκαν από την Ormandy μέσω ασυμβίβαστου - μέθοδο - που μοιράστηκαν με τη Sophos, αλλά δεν δημοσιοποιήθηκαν. Τα θέματα αυτά εξετάζονται και τα διορθωτικά μέτρα για αυτά θα αρχίσουν να κυκλοφορούν στις 28 Νοεμβρίου.

"Ως εταιρεία ασφάλειας, η διατήρηση των πελατών ασφαλής είναι η πρωταρχική ευθύνη της Sophos", ανέφερε η Sophos. "Ως αποτέλεσμα, οι εμπειρογνώμονες της Sophos διερευνούν όλες τις εκθέσεις ευπάθειας και εφαρμόζουν την καλύτερη πορεία δράσης στο ταχύτερο δυνατό χρονικό διάστημα."

"Είναι καλό ότι η Sophos κατάφερε να παραδώσει το σύνολο των διορθώσεων μέσα σε λίγες εβδομάδες και χωρίς να διαταράξει τους πελάτες «συνήθεις πράξεις», δήλωσε ο Τζορτζ Κλούλι, ανώτερος σύμβουλος τεχνολογίας στη Sophos, μέσω ηλεκτρονικού ταχυδρομείου την Τρίτη. "Είμαστε ευγνώμονες που ο Tavis Ormandy βρήκε τα τρωτά σημεία, καθώς αυτό βοήθησε τα προϊόντα της Sophos να βελτιωθούν." Ωστόσο, ο Ormandy δεν ήταν ικανοποιημένος με το χρόνο που χρειάστηκε η Sophos να καλύψει τις κρίσιμες ευπάθειες που ανέφερε. Τα θέματα αναφέρθηκαν στην εταιρεία στις 10 Σεπτεμβρίου.

«Ως απάντηση στην έγκαιρη πρόσβαση σε αυτή την έκθεση, η Sophos διέθεσε ορισμένους πόρους για να επιλύσει τα θέματα που συζητήθηκαν, ωστόσο ήταν σαφώς ακατάλληλα για να χειριστεί την παραγωγή ένας συνεταιριστικός, μη αμφισβητούμενος ερευνητής ασφαλείας ", δήλωσε ο Ormandy. "Ένας εξειδικευμένος επιθετικός από το κράτος ή με πολύ κίνητρο εισβολέα θα μπορούσε εύκολα να καταστρέψει ολόκληρη τη βάση χρηστών της Sophos."

"Η Sophos ισχυρίζεται ότι τα προϊόντα της αναπτύσσονται σε όλη την υγειονομική περίθαλψη, την κυβέρνηση, τα οικονομικά και ακόμη και τον στρατό», δήλωσε ο ερευνητής. "Το χάος που ένας κίνητρο εισβολέα μπορεί να προκαλέσει σε αυτά τα συστήματα είναι μια ρεαλιστική παγκόσμια απειλή. Για το λόγο αυτό, τα προϊόντα της Sophos θα πρέπει πάντα να θεωρούνται ως μη κρίσιμα συστήματα χαμηλής αξίας και να μην αναπτύσσονται ποτέ σε δίκτυα ή περιβάλλοντα όπου θα ήταν άβολο ένας πλήρης συμβιβασμός από τους αντιπάλους ».

Το έγγραφο της Ormandy περιέχει μια ενότητα που περιγράφει τις βέλτιστες πρακτικές και περιλαμβάνει τις συστάσεις του ερευνητή για τους πελάτες της Sophos, όπως την εφαρμογή σχεδίων έκτακτης ανάγκης που θα τους επέτρεπαν να απενεργοποιήσουν εγκαίρως τις εγκαταστάσεις προστασίας από ιούς της Sophos.

«Η Sophos απλά δεν μπορεί να αντιδράσει αρκετά γρήγορα για να αποτρέψει επιθέσεις, ακόμη και όταν παρουσιάσει μια εκμετάλλευση εργασίας», δήλωσε. "Σε περίπτωση που ένας επιτιθέμενος επιλέξει να χρησιμοποιήσει το Sophos Antivirus ως το καλώδιο τους στο δίκτυό σας, η Sophos απλά δεν θα μπορέσει να αποτρέψει τη συνεχιζόμενη εισβολή για κάποιο χρονικό διάστημα και πρέπει να εφαρμόσετε σχέδια έκτακτης ανάγκης για να χειριστείτε αυτό το σενάριο αν επιλέξετε να συνεχίσετε να χρησιμοποιείτε το Sophos".