Výzkumník zjistil kritické chyby v produktu Sophos antivirus

Výzkumný pracovník v oblasti bezpečnosti Tavis Ormandy objevil kritické chyby v antivirovém produktu vyvinutém britskou bezpečnostní firmou Sophos a poradil organizacím vyvarujte se používání produktu v kritických systémech, pokud prodejce nezlepší své postupy vývoje produktů, zajištění kvality a bezpečnostní odezvy

Ormandy, který pracuje jako inženýr bezpečnosti informací ve společnosti Google, zveřejnil podrobnosti o zranitelnostich, které našel ve výzkumném dokumentu nazvaném " Sophail: Aplikace útoků proti Sophos Anti virus ", který byl zveřejněn v pondělí. Ormandy poznamenal, že výzkum byl proveden v jeho volném čase a že názory vyjádřené v příspěvku jsou jeho vlastní a nikoli jeho zaměstnavatele.

Článek obsahuje podrobnosti o několika zranitelných místech v antivirovém kódu Sophos zodpovědném za analýzu jazyka 6, Soubory PDF, CAB a RAR. Některé z těchto chyb mohou být napadeny vzdáleně a mohou vést ke spuštění libovolného kódu v systému.

[Další informace: Jak odstranit malware z vašeho počítače se systémem Windows]

Ormandy dokonce zahrnoval použití důkazu o konceptu který prohlašuje, že nevyžaduje žádnou interakci s uživatelem, bez autentizace a může být snadno přeměněn na samo-šířící se červ.

Výzkumný pracovník postavil exploit pro verzi Sophos antivirus pro Mac, avšak poznamenal, že tato zranitelnost také ovlivňuje Windows a Linux verze produktu a exploit lze snadno převést na tyto platformy.

Chyba zabezpečení parsování PDF může být zneužita jednoduše přijímáním e-mailu v aplikaci Outlook nebo Mail.app, píše Ormandy v příspěvku. Protože Sophos antivirus automaticky zachycuje operace vstupu a výstupu (I / O), otevření nebo čtení e-mailu není dokonce nutné.

"Nejrealističtější scénář útoku pro globální síťový červ je samospouštění prostřednictvím e-mailu," řekl Ormandy. "Žádní uživatelé nejsou povinni komunikovat s e-mailem, protože tato chyba bude automaticky zneužita."

Jsou však možné i další metody útoku - například otevřením libovolného souboru poskytovaného útočníkem; návštěvu adresy URL (dokonce i v prohlížeči s karanténami) nebo vkládání obrázků pomocí adres URL MIME cid: URL do e-mailu, který je otevřen v klientovi webmailu. "Každá metoda, kterou útočník může způsobit, že I / O může stačit k vyčerpání této zranitelnosti."

Ormandy také zjistila, že součást nazvaná "Buffer Overflow Protection System" (BOPS), která je součástí Sophos antivirus, rozdělení rozložení rozložení adresy) využívat funkci zmírňování všech verzí systému Windows, které ji podporují ve výchozím nastavení, včetně systému Vista a později.

"Je prostě neospravedlnitelné zakázat ASLR systém jako celok, zejména za účelem prodeje naivní alternativy k zákazníkům, která je funkčně horší než ta, kterou poskytuje společnost Microsoft, "uvedl Ormandy.

Součást seznamu blacklistů pro Internet Explorer nainstalovanou Sophos antivirus ruší ochranu nabízená funkcí chráněného režimu prohlížeče. Kromě toho šablona, ​​která slouží k zobrazení varování pomocí komponenty blacklisting, zavádí všeobecnou chybu zabezpečení skriptování, která narušuje zásady stejného původu prohlížeče.

Politika stejného původu je "jedním ze základních bezpečnostních mechanismů, díky kterým je internet bezpečný použití, "řekl Ormandy. "S porušením zásad stejného původu mohou škodlivé webové stránky komunikovat s vaší poštou, intranetovými systémy, registrátory, bankami a mzdovými systémy atd."

Ormandyho komentáře v celém dokumentu naznačují, že mnoho z těchto zranitelností mělo být zachyceno během procesu vývoje produktu a zajišťování kvality.

Výzkumný pracovník předtím sdělil své závěry společnosti Sophos a společnost vydala bezpečnostní opravy pro zranitelná místa popsaná v tomto dokumentu. Některé opravy byly vyvrcholeny 22. října, zatímco ostatní byly vydány 5. listopadu, uvedla společnost v pondělí na blogu.

Stále existují některé potenciálně využitelné problémy, které Ormandy objevil prostřednictvím fuzzingu - testování bezpečnosti metoda, která byla sdílena se společností Sophos, ale nebyla zveřejněna. Tyto otázky jsou zkoumány a jejich opravy se začnou rozvíjet na 28. listopadu.

"Jako bezpečnostní společnost je zákazníkem bezpečná Sophosova primární odpovědnost," uvedl Sophos. "Výsledkem je, že odborníci společnosti Sophos zkoumají všechny zprávy o zranitelnosti a provádějí nejlepší kroky v co nejkratším čase."

"Je dobré, že společnost Sophos dokázala během několika týdnů dodávat sadu oprav a bez narušení zákazníků "obvyklé operace," řekl Graham Cluley, senior technologický konzultant společnosti Sophos. "Jsme vděční za to, že Tavis Ormandy našel zranitelnosti, neboť to pomohlo zefektivnění produktů společnosti Sophos."

Ormandy však nebyl spokojen s časem, který Sophos potřeboval pro opravu kritických zranitelností, které ohlásil. Problémy byly oznámeny společnosti 10. září.

"V reakci na časný přístup k této zprávě Sophos přidělil některé zdroje k vyřešení diskutovaných otázek, nicméně byly zjevně nesprávně vybaveny pro zpracování výstupu jeden spolupracující, bezkonkurenční bezpečnostní výzkumník, "řekl Ormandy. "Sofistikovaný státní sponzorovaný nebo vysoce motivovaný útočník by mohl lehce ničit celou uživatelskou základnu Sophos." "Sophos tvrdí, že jejich produkty jsou rozmístěny po celé zdravotní péči, vládě, financí a dokonce i armádě," řekl výzkumník. "Chaos motivovaný útočník může způsobit, že tyto systémy je realistická globální hrozba. Z tohoto důvodu by měly být produkty společnosti Sophos považovány pouze za nekryté systémy s nízkou hodnotou a nikdy by nebyly rozmístěny v sítích nebo prostředích, kde by byl nekompromisní úplný kompromis protivníků. "

Dokument Ormandyho obsahuje část, která popisuje osvědčené postupy a obsahuje doporučení výzkumného pracovníka pro zákazníky společnosti Sophos, jako je implementace plánů pro mimořádné situace, které by jim umožnily krátkodobě zakázat antivirové instalace společnosti Sophos.

"Sophos jednoduše nemůže reagovat dostatečně rychle, aby zabránil útokům, a to i tehdy,. "Pokud by se útočník rozhodl použít Sophos Antivirus jako své vedení do vaší sítě, Sophos jednoduše nebude schopen zabránit jejich pokračujícímu vniknutí na nějaký čas a musíte použít nouzové plány pro zvládnutí tohoto scénáře, pokud se rozhodnete pokračovat v nasazení Sophosu."