Forsker finder kritiske sårbarheder i Sophos antivirusprodukt

Sikkerhedsforsker Tavis Ormandy opdagede kritiske sårbarheder i antivirusproduktet, der blev udviklet af det britiske sikkerhedsfirma Sophos og anbefalede organisationer at undgå at bruge produktet på kritiske systemer, medmindre sælgeren forbedrer produktudvikling, kvalitetssikring og sikkerhedspraksis.

Ormandy, der arbejder som informationssikkerhedsingeniør hos Google, offentliggjorde detaljer om de sårbarheder, han fandt i et forskningsdokument med titlen " Sophail: Anvendte angreb mod Sophos Anti virus ", der blev offentliggjort mandag. Ormandy bemærkede, at forskningen blev udført i sin fritid, og at synspunkterne i papiret er hans egne og ikke hans arbejdsgiveres indhold.

Papiret indeholder detaljer om flere sårbarheder i Sophos antiviruskode, der er ansvarlig for at analysere Visual Basic 6, PDF, CAB og RAR filer. Nogle af disse fejl kan angribes eksternt og kan resultere i udførelse af vilkårlig kode på systemet.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Ormandy inkluderede endda et proof of concept-udnyttelse for PDF-parsing-sårbarheden, som han hævder, kræver ingen brugerinteraktion, ingen autentificering og kan let omdannes til en selvudbredende orm.

Forskeren byggede udnyttelsen til Mac-versionen af ​​Sophos antivirus, men bemærkede, at sårbarheden også påvirker Windows og Linux versioner af produktet og udnyttelsen kan let oversættes til disse platforme.

PDF-parsing sårbarheden kan udnyttes ved blot at modtage en mail i Outlook eller Mail.app, ormandy sagde i papiret. Fordi Sophos antivirus automatisk opfanger input og output (I / O) operationer, er det ikke engang nødvendigt at åbne eller læse e-mailen.

"Det mest realistiske angrebsscenario for en global netværksorm er selvforplantning via e-mail," siger Ormandy. "Ingen brugere skal interagere med e-mailen, da sårbarheden automatisk udnyttes."

Men andre angrebsmetoder er også mulige, for eksempel ved at åbne en fil af enhver type, der leveres af en angriber. besøger en webadresse (selv i en sandboxet browser) eller indlejrer billeder ved hjælp af MIME cid: URL'er i en e-mail, der åbnes i en webmail-klient, sagde forskeren. "En hvilken som helst metode en angriber kan bruge til at få I / O til at udnytte denne sårbarhed."

Ormandy fandt også, at en komponent kaldet "Buffer Overflow Protection System" (BOPS), der er bundtet med Sophos antivirus, deaktiverer ASLR randomisering af adressrumslayout) udnytte mitigationsfunktionen på alle Windows-versioner, der understøtter det som standard, herunder Vista og senere.

"Det er simpelthen utænkeligt at deaktivere ASLR systematisk som dette, især for at sælge et naivt alternativ til kunder, der er funktionelt dårligere end det, der leveres af Microsoft, "udtalte Ormandy.

En websider blacklisting komponent til Internet Explorer installeret af Sophos antivirus annullerer beskyttelsen, der tilbydes af browserens beskyttede tilstand funktion, forskeren sagde. Desuden introducerer skabelonen, der bruges til at vise advarsler fra den svarte liste, en universel script-sårbarhed på tværs af webstedet, der besejrer browserens samme oprindelsespolitik.

Den samme oprindelsespolitik er "en af ​​de grundlæggende sikkerhedsmekanismer, der gør internettet sikkert at bruge, "ormandy sagde. "Med den samme oprindelsespolitik besejret, kan et ondsindet websted interagere med din Mail, Intranet Systems, Registrar, Banker og Lønningssystemer og så videre."

Ormandys kommentarer i hele papiret tyder på, at mange af disse sårbarheder burde have været fanget under produktudvikling og kvalitetssikringsprocesser.

Forskeren delte sine resultater med Sophos i forvejen, og selskabet udgav sikkerhedsrettelser for de sårbarheder, der er beskrevet i papiret. Nogle af rettelserne blev rullet ud den 22. oktober, mens de andre blev udgivet den 5. november, sagde firmaet mandag i et blogindlæg.

Der er stadig nogle potentielt udnyttelige problemer, der opdages af Ormandy gennem fuzzing-en sikkerhedsprøvning metode - der blev delt med Sophos, men blev ikke offentliggjort. Disse spørgsmål undersøges, og rettelser for, at de begynder at blive udbygget den 28. november, siger firmaet.

"Som sikkerhedsselskab holder Sophos primære ansvar," sagde Sophos. "Som følge heraf undersøger Sophos eksperter alle sårbarhedsrapporter og gennemfører det bedste handlingsforløb i den nærmeste tidsperiode."

"Det er godt, at Sophos har kunnet levere pakken med rettelser inden for få uger og uden at forstyrre kunderne 'sædvanlige operationer,' Graham Cluley, en højtstående teknologisk konsulent hos Sophos, sagde tirsdag via email. "Vi er taknemmelige over, at Tavis Ormandy fandt sårbarhederne, da dette har bidraget til at gøre Sophos produkter bedre."

Men Ormandy var ikke tilfreds med den tid, det tog Sophos at patchere de kritiske sårbarheder, han rapporterede. Spørgsmålene blev rapporteret til selskabet den 10. september. «

" Som reaktion på tidlig adgang til denne rapport tildelte Sophos nogle ressourcer for at løse de diskuterede spørgsmål, men de var tydeligt dårligt rustede til at håndtere produktionen af en kooperativ, ikke-kontradiktorisk sikkerhedsforsker ", udtalte Ormandy. "En sofistikeret statsstøttet eller motiveret angriber kan nemt ødelægge hele Sophos brugerbase."

"Sophos hævder, at deres produkter udnyttes gennem sundhedsvæsenet, regeringen, økonomien og endda militæret," sagde forskeren. "Det kaos en motiveret angriber kan forårsage for disse systemer er en realistisk global trussel. Af denne grund bør Sophos produkter kun overvejes for værdifulde ikke-kritiske systemer og aldrig implementeres på netværk eller miljøer, hvor et fuldstændigt kompromis af modstandere ville være ubelejligt. "

Ormandys papir indeholder et afsnit, der beskriver bedste praksis og indeholder forskerens anbefalinger til Sophos kunder, som at implementere beredskabsplaner, der gør det muligt for dem at deaktivere Sophos antivirusinstallationer med kort varsel.

"Sophos kan simpelthen ikke reagere hurtigt nok til at forhindre angreb, selv når det bliver præsenteret med en fungerende udnyttelse", sagde han. "Hvis en angriber vælger at bruge Sophos Antivirus som deres ledning til dit netværk, vil Sophos simpelthen ikke kunne forhindre deres fortsatte indbrud i nogen tid, og du skal implementere beredskabsplaner til at håndtere dette scenario, hvis du vælger at fortsætte med at implementere Sophos."