Naukowiec znajduje krytyczne luki w oprogramowaniu antywirusowym Sophos

Badacz bezpieczeństwa Tavis Ormandy odkrył krytyczne luki w zabezpieczeniach oprogramowania antywirusowego opracowanego przez brytyjską firmę Sophos i doradził organizacjom unikaj używania produktu w krytycznych systemach, chyba że sprzedawca ulepszy swoje działania związane z opracowywaniem produktu, zapewnianiem jakości i bezpieczeństwem odpowiedzi.

Ormandy, który pracuje jako inżynier ds. bezpieczeństwa informacji w Google, ujawnił szczegóły na temat luk w zabezpieczeniach, które znalazł w dokumencie badawczym zatytułowanym " Sophail: Zastosowane ataki przeciwko Sophos Anti wirus ", który został opublikowany w poniedziałek. Ormandy zauważył, że badania przeprowadzono w wolnym czasie, a opinie wyrażone w gazecie są jego własnymi, a nie poglądami jego pracodawcy.

Artykuł zawiera informacje o kilku lukach w kodzie antywirusowym Sophos odpowiedzialnym za parsowanie Visual Basic 6, Pliki PDF, CAB i RAR. Niektóre z tych wad mogą zostać zaatakowane zdalnie i mogą spowodować wykonanie dowolnego kodu w systemie.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Ormandy włączyło nawet exploit typu proof-of-concept dla luki polegającej na analizie pliku PDF, która według niego nie wymaga interakcji użytkownika, uwierzytelnienia i może być łatwo przekształcona w robaka rozprzestrzeniającego się samoczynnie

Badacz zbudował exploit dla wersji antywirusowej Sophos na komputerach Mac, ale zauważył, że luka dotyczy również Wersje systemu Windows i Linux oraz exploita można łatwo przetłumaczyć na te platformy.

Luka w przetwarzaniu PDF może zostać wykorzystana przez proste otrzymanie wiadomości e-mail w Outlooku lub Mail.app, powiedział Ormandy w artykule. Ponieważ program antywirusowy Sophos automatycznie przechwytuje operacje wejścia / wyjścia (I / O), otwarcie lub odczytanie wiadomości e-mail nie jest nawet konieczne.

"Najbardziej realistyczny scenariusz ataku dla globalnego robaka sieciowego jest samopopularyzowaniem za pośrednictwem poczty elektronicznej" - powiedział Ormandy. "Żadni użytkownicy nie muszą wchodzić w interakcję z pocztą, ponieważ luka zostanie automatycznie wykorzystana."

Jednak możliwe są również inne metody ataku - na przykład poprzez otwarcie dowolnego pliku dowolnego typu udostępnionego przez atakującego; odwiedzając adres URL (nawet w przeglądarce piaskownicy) lub osadzając obrazy przy pomocy MIME cid: URLs w wiadomości e-mail, która jest otwierana w kliencie poczty internetowej, powiedział badacz. "Każda metoda, której atakujący może użyć do spowodowania operacji we / wy, jest wystarczająca do wykorzystania tej luki."

Ormandy odkrył również, że składnik o nazwie "System ochrony przed przepełnieniem bufora" (BOPS), który jest dołączony do oprogramowania antywirusowego Sophos, wyłącza funkcję ASLR (randomizacja layoutu przestrzeni adresowej) funkcja łagodzenia skutków dla wszystkich wersji systemu Windows, które domyślnie ją obsługują, w tym Vista i później.

"Jest to po prostu niewybaczalne, aby wyłączyć system ASLR tak jak ten, szczególnie w celu sprzedaży naiwnej alternatywy dla klientów funkcjonalnie gorszy niż ten dostarczony przez Microsoft, "powiedział Ormandy.

Składnik czarnej listy dla Internet Explorera zainstalowany przez program antywirusowy Sophos anuluje ochronę oferowaną przez tryb chroniony przeglądarki, powiedział naukowiec. Ponadto szablon używany do wyświetlania ostrzeżeń przez składnik czarnej listy wprowadza uniwersalną lukę w obsłudze skryptów krzyżowych, która jest niezgodna z zasadą tego samego pochodzenia przeglądarki.

Polityka tego samego pochodzenia jest "jednym z podstawowych mechanizmów bezpieczeństwa, który sprawia, że ​​internet jest bezpieczny. użyj ", powiedział Ormandy. "Po pokonaniu zasady tego samego pochodzenia złośliwa strona internetowa może wchodzić w interakcje z Twoimi systemami Mail, Intranet Systems, Registrar, Banks and Payroll, i tak dalej."

Komentarze Ormandy w całym tekście sugerują, że wiele z tych luk powinno zostać złapanych podczas procesów rozwoju produktu i zapewnienia jakości.

Badacz podzielił się swoimi odkryciami z Sophos z wyprzedzeniem, a firma opublikowała poprawki bezpieczeństwa dotyczące luk ujawnionych w artykule. Niektóre poprawki zostały wprowadzone 22 października, podczas gdy pozostałe zostały wydane 5 listopada, poinformowała firma w poniedziałek w poście na blogu.

Nadal istnieje kilka potencjalnie użytecznych problemów odkrytych przez Ormandy poprzez fuzzing - testowanie bezpieczeństwa Metoda ta została udostępniona Sophos, ale nie została publicznie ujawniona. Kwestie te są obecnie badane, a poprawki do nich zaczną być wprowadzane 28 listopada, mówi firma.

"Jako firma ochroniarska, zapewnienie bezpieczeństwa klientom jest główną odpowiedzialnością Sophos" - powiedział Sophos. "W rezultacie eksperci Sophos badają wszystkie raporty o usterkach i wdrażają najlepsze działania w możliwie najkrótszym czasie."

"Dobrze, że Sophos był w stanie dostarczyć pakiet poprawek w ciągu kilku tygodni i bez zakłócania klientów "zwykłe operacje", powiedział Graham Cluley, starszy konsultant ds. technologii w Sophos, za pośrednictwem poczty elektronicznej. "Jesteśmy wdzięczni, że Tavis Ormandy odkrył luki w zabezpieczeniach, ponieważ pomogło to ulepszyć produkty Sophos."

Jednak Ormandy nie był usatysfakcjonowany tym, że zajęło Sophosowi naprawienie krytycznych luk, które zgłosił. Sprawy zostały zgłoszone firmie 10 września, powiedział.

"W odpowiedzi na wczesny dostęp do tego raportu, Sophos przydzielił trochę zasobów, aby rozwiązać omawiane kwestie, jednak były one wyraźnie słabo przygotowane do obsługi jeden spółdzielczy, bezstronny badacz bezpieczeństwa, "powiedział Ormandy. "Zaawansowany sponsorowany przez państwo lub wysoce zmotywowany atakujący może z łatwością zniszczyć całą bazę użytkowników Sophos."

"Sophos twierdzi, że ich produkty są wdrażane w całej służbie zdrowia, administracji, finansach, a nawet w wojsku" - powiedział naukowiec. "Chaos, którego zmotywowany atakujący może spowodować dla tych systemów, jest realnym globalnym zagrożeniem. Z tego powodu produkty Sophos powinny być brane pod uwagę tylko w przypadku niekrytycznych systemów o niskiej wartości i nigdy nie powinny być stosowane w sieciach lub środowiskach, w których całkowity kompromis ze strony przeciwników byłby niewygodny. "

Artykuł Ormandy zawiera sekcję opisującą najlepsze praktyki i zawiera zalecenia badaczy dla klientów Sophos, takie jak wdrażanie planów awaryjnych, które pozwolą im na szybkie wyłączenie instalacji antywirusowych Sophos.

"Sophos po prostu nie może zareagować wystarczająco szybko, aby zapobiec atakom, nawet jeśli ma działający exploit," powiedział. "Jeśli intruz zdecyduje się użyć Sophos Antivirus jako swojego przewodnika w swojej sieci, Sophos po prostu nie będzie w stanie zapobiec jego dalszemu włamaniom przez jakiś czas, i musisz wdrożyć plany awaryjne, aby poradzić sobie z tym scenariuszem, jeśli zdecydujesz się kontynuować wdrażanie Sophos."