Penyelidik mendapati kelemahan kritikal dalam produk antivirus Sophos

Penyelidik keselamatan Tavis Ormandy menemui kelemahan kritikal dalam produk antivirus yang dibangunkan oleh firma keselamatan yang berpangkalan di UK Sophos dan organisasi yang dinasihatkan supaya mengelakkan penggunaan produk pada sistem kritikal melainkan vendor meningkatkan perkembangan produk, jaminan kualiti dan amalan respon keselamatan.

Ormandy, yang bekerja sebagai jurutera keselamatan maklumat di Google, mendedahkan butiran mengenai kelemahan yang ditemui dalam kertas penyelidikan bertajuk " Sophail: Serangan yang dikenakan terhadap Sophos Anti virus "yang diterbitkan pada hari Isnin. Ormandy menyatakan bahawa penyelidikan itu dilakukan di masa lapangnya dan pandangan yang dinyatakan dalam karya itu sendiri dan bukannya dari majikannya.

Kertas ini mengandungi butiran mengenai beberapa kelemahan dalam kod antivirus Sophos yang bertanggungjawab untuk menguraikan Visual Basic 6, Fail PDF, CAB dan RAR. Beberapa kelemahan ini boleh diserang dari jauh dan boleh mengakibatkan pelaksanaan kod sewenang-wenang pada sistem.

[Bacaan lanjut: Cara menghapuskan malware dari PC Windows Anda]

Ormandy bahkan termasuk eksploitasi bukti-konsep untuk kelemahan PDF parsing yang dia tuntut tidak memerlukan interaksi pengguna, tiada pengesahan dan boleh dengan mudah diubah menjadi cacing penyebaran diri.

Penyelidik membina eksploit untuk versi Mac antivirus Sophos, tetapi menyatakan bahawa kelemahan juga mempengaruhi Versi Windows dan Linux produk dan eksploit dengan mudah boleh diterjemahkan ke platform tersebut.

Kelemahan PDF parsing boleh dieksploitasi dengan hanya menerima e-mel di Outlook atau Mail.app, kata Ormandy dalam kertas. Kerana Sophos antivirus secara automatik mencegat operasi input dan output (I / O), membuka atau membaca e-mel itu tidak perlu.

"Senario serangan paling realistik untuk cacing rangkaian global adalah penyebaran sendiri melalui e-mel," kata Ormandy. "Tidak ada pengguna yang diperlukan untuk berinteraksi dengan e-mel, kerana kerentanan akan dieksploitasi secara automatik."

Walau bagaimanapun, kaedah serangan lain juga mungkin-misalnya, dengan membuka sebarang jenis fail yang disediakan oleh penyerang; melawat URL (walaupun dalam penyemak imbas kotak pasir), atau memasukkan gambar menggunakan MIME cid: URL ke dalam e-mel yang dibuka dalam klien webmail, kata penyelidik. "Mana-mana kaedah penyerang boleh digunakan untuk menyebabkan saya / O cukup untuk mengeksploitasi kerentanan ini."

Ormandy juga mendapati bahawa satu komponen yang dipanggil "Sistem Perlindungan Limpah Buffer" (BOPS) yang dibundel dengan antivirus Sophos, melumpuhkan ASLR (ciri rintis ruang alamat) mengeksploitasi ciri pengurangan pada semua versi Windows yang menyokongnya secara lalai, termasuk Vista dan kemudiannya.

"Tidak dapat dinafikan untuk melumpuhkan sistem ASLR seperti ini, terutama untuk menjual alternatif yang tidak sengaja kepada pelanggan yang berfungsi lebih lemah daripada yang disediakan oleh Microsoft, "kata Ormandy.

Komponen penyenaraian semula laman web untuk Internet Explorer yang dipasang oleh antivirus Sophos membatalkan perlindungan yang ditawarkan oleh ciri Mod Protected pelayar, kata penyelidik. Di samping itu, templat yang digunakan untuk memaparkan amaran oleh komponen senarai hitam memperkenalkan kerentanan skrip merentasi tapak sejagat yang mengalahkan Dasar Asal Same browser.

Dasar Asal Yang Sama adalah "salah satu mekanisme keselamatan asas yang menjadikan internet selamat gunakan, "kata Ormandy. "Dengan Dasar Asal yang Sama dikalahkan, laman web yang berniat jahat boleh berinteraksi dengan sistem Mail, Intranet, Pendaftar, Bank dan Payroll anda, dan sebagainya."

Komen-komen Ormandy di sepanjang kertas menunjukkan bahawa banyak kelemahan ini sepatutnya ditangkap semasa proses pembangunan produk dan proses jaminan kualiti

Penyelidik berkongsi hasilnya dengan Sophos terlebih dahulu dan syarikat mengeluarkan pembaikan keselamatan untuk kelemahan yang didedahkan di dalam kertas. Beberapa pembaikan telah dilancarkan pada 22 Okt manakala yang lain dibebaskan pada 5 November, kata syarikat itu Isnin dalam catatan blog.

Masih terdapat beberapa isu yang boleh dieksploitasi yang ditemui oleh Ormandy melalui fuzzing-sebuah ujian keselamatan kaedah yang dikongsi dengan Sophos, tetapi tidak didedahkan kepada umum. Isu-isu ini sedang diperiksa dan pembaikan bagi mereka akan mula dilancarkan pada 28 November, kata syarikat itu.

"Sebagai sebuah syarikat keselamatan, menjaga keselamatan pelanggan adalah tanggungjawab utama Sophos," kata Sophos. "Hasilnya, pakar Sophos menyiasat semua laporan kelemahan dan melaksanakan tindakan terbaik dalam tempoh masa yang paling ketat."

"Adalah baik bahawa Sophos telah dapat menyampaikan perbaikan dalam masa beberapa minggu, dan tanpa mengganggu pelanggan 'operasi biasa,' kata Graham Cluley, seorang perunding teknologi kanan di Sophos, hari ini melalui e-mel. "Kami bersyukur kerana Tavis Ormandy mendapati kelemahan, kerana ini telah membantu menjadikan produk Sophos lebih baik."

Namun, Ormandy tidak puas dengan masa yang diperlukan Sophos untuk menambal kelemahan kritikal yang dilaporkannya. Isu-isu itu dilaporkan kepada syarikat itu pada 10 September.

"Sebagai tindak balas terhadap akses awal kepada laporan ini, Sophos telah memperuntukkan beberapa sumber untuk menyelesaikan isu-isu yang dibincangkan, namun mereka jelas tidak dilengkapi untuk mengendalikan output satu penyelidik keselamatan, bukan penyelidik, "kata Ormandy. "Seorang penyerang yang ditaja negara atau sangat bermotivasi boleh menghancurkan keseluruhan pangkalan pengguna Sophos dengan mudah."

"Sophos mendakwa produk mereka digunakan sepanjang penjagaan kesihatan, kerajaan, kewangan dan juga tentera," kata penyelidik itu. "Huru-hara penyerang bermotivasi boleh menyebabkan sistem ini menjadi ancaman global yang realistik. Atas sebab ini, produk Sophos hanya perlu dipertimbangkan untuk sistem nilai tidak kritikal yang rendah dan tidak pernah digunakan pada rangkaian atau persekitaran di mana kompromi lengkap oleh lawan akan menyusahkan. "

Kertas Ormandy mengandungi seksyen yang menggambarkan amalan terbaik dan termasuk cadangan penyelidik untuk pelanggan Sophos, seperti melaksanakan pelan kontingensi yang membolehkan mereka untuk menyahpasang pemasangan antivirus Sophos pada notis singkat.

"Sophos tidak dapat bertindak balas dengan cepat untuk mencegah serangan, walaupun diberikan dengan mengeksploitasi kerja," katanya.. "Sekiranya penyerang memilih untuk menggunakan Sophos Antivirus sebagai saluran mereka ke dalam rangkaian anda, Sophos semestinya tidak akan dapat mencegah pencerobohan berterusan mereka untuk beberapa waktu, dan anda mesti melaksanakan rancangan kontingensi untuk menangani senario ini jika anda memilih untuk terus mengerahkan Sophos."