Onderzoeker vindt kritieke kwetsbaarheden in Sophos-antivirusproduct

Beveiligingsonderzoeker Tavis Ormandy ontdekte kritieke kwetsbaarheden in het antivirusproduct dat werd ontwikkeld door het Britse beveiligingsbedrijf Sophos en adviseerde organisaties om vermijd het gebruik van het product op kritieke systemen, tenzij de leverancier zijn productontwikkeling, kwaliteitsborging en beveiligingsreactie verbetert.

Ormandy, die werkzaam is als informatiebeveiligingsingenieur bij Google, onthulde details over de kwetsbaarheden die hij aantrof in een onderzoeksartikel getiteld " Sophail: toegepaste aanvallen tegen Sophos Anti virus "dat op maandag werd gepubliceerd. Ormandy merkte op dat het onderzoek in zijn vrije tijd werd uitgevoerd en dat de opvattingen in de paper de zijne zijn en niet die van zijn werkgever.

Het artikel bevat details over verschillende kwetsbaarheden in de Sophos antiviruscode die verantwoordelijk is voor het parseren van Visual Basic 6, PDF-, CAB- en RAR-bestanden. Sommige van deze fouten kunnen op afstand worden aangevallen en kunnen leiden tot de uitvoering van willekeurige code op het systeem.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Ormandy heeft zelfs een proof-of-concept-exploit toegevoegd voor de kwetsbaarheid van PDF-parsering waarvan hij claimt dat deze geen gebruikersinteractie vereist, geen authenticatie en gemakkelijk kan worden omgezet in een zichzelf verspreidende worm.

De onderzoeker bouwde de exploit voor de Mac-versie van Sophos-antivirus, maar merkte op dat de kwetsbaarheid ook van invloed is Windows- en Linux-versies van het product en de exploit kunnen eenvoudig naar die platforms worden vertaald.

De kwetsbaarheid van PDF-parsing kan worden geëxploiteerd door eenvoudig een e-mail te ontvangen in Outlook of Mail.app, aldus Ormandy in de krant. Omdat Sophos-antivirus automatisch invoer- en uitvoerbewerkingen (I / O) onderschept, is openen of lezen van de e-mail niet eens nodig.

"Het meest realistische aanvalsscenario voor een wereldwijde netwerkworm is zelf-verspreiding via e-mail," zei Ormandy. "Er hoeven geen gebruikers te communiceren met de e-mail, omdat het beveiligingslek automatisch wordt misbruikt."

Andere aanvalsmethoden zijn echter ook mogelijk, bijvoorbeeld door een willekeurig bestand van een aanvaller te openen; een URL bezoeken (zelfs in een browser met sandbox) of afbeeldingen insluiten met MIME cid: URL's in een e-mail die wordt geopend in een webmailclient, zei de onderzoeker. "Elke methode die een aanvaller kan gebruiken om I / O te veroorzaken, is voldoende om dit beveiligingslek te misbruiken."

Ormandy ontdekte ook dat een component genaamd het "Buffer Overflow Protection System" (BOPS) dat is gebundeld met Sophos-antivirus, de ASLR uitschakelt (randomisatie van ruimte-indeling aanpakken) misbruikbeperkende functie toepassen op alle Windows-versies die dit standaard ondersteunen, inclusief Vista en later.

"Het is gewoon onvergeeflijk om ASLR in het hele systeem op deze manier uit te schakelen, vooral om een ​​naïef alternatief voor klanten te verkopen functioneel slechter dan dat van Microsoft, "zei Ormandy.

Een website blacklisting component voor Internet Explorer geïnstalleerd door Sophos antivirus annuleert de bescherming geboden door de beschermde modus van de browser, aldus de onderzoeker. Bovendien introduceert de sjabloon die wordt gebruikt om waarschuwingen weer te geven door de blacklisting-component een universele cross-site scripting-kwetsbaarheid die het Same Origin-beleid van de browser verslaat.

Hetzelfde oorsprongsbeleid is "een van de fundamentele beveiligingsmechanismen die het internet veilig maken voor gebruik, "zei Ormandy. "Met hetzelfde aangetaste beleid kan een kwaadwillende website communiceren met uw systemen voor e-mail, intranet, register, banken en salarisserollen, enzovoort." <> Opmerkingen van Ormandy in het hele artikel wijzen erop dat veel van deze kwetsbaarheden hadden moeten worden betrapt tijdens de productontwikkeling en kwaliteitsborging processen.

De onderzoeker heeft zijn bevindingen van tevoren met Sophos gedeeld en het bedrijf heeft beveiligingsoplossingen vrijgegeven voor de kwetsbaarheden die in de paper worden onthuld. Sommige fixes zijn op 22 oktober uitgerold, terwijl de anderen op 5 november zijn uitgebracht. Het bedrijf zei maandag in een blogpost. Er zijn nog enkele potentieel misbruikbare problemen die door Ormandy zijn ontdekt door fuzzing - een beveiligingstest methode - die werden gedeeld met Sophos, maar niet openbaar werden gemaakt. Die kwesties worden onderzocht en de oplossingen voor hen zullen op 28 november worden geïntroduceerd, aldus het bedrijf.

"Als beveiligingsbedrijf is het beschermen van klanten de primaire verantwoordelijkheid van Sophos", aldus Sophos. "Het resultaat is dat Sophos-experts alle kwetsbaarheidsrapporten onderzoeken en de beste manier van handelen implementeren in de kortst mogelijke tijd."

"Het is goed dat Sophos in staat is geweest om de reeks fixes binnen enkele weken te leveren en zonder klanten te storen. 'gebruikelijke operaties', zei Graham Cluley, een senior technology consultant bij Sophos, dinsdag via e-mail. "We zijn dankbaar dat Tavis Ormandy de kwetsbaarheden heeft gevonden, omdat dit heeft geholpen de producten van Sophos beter te maken." Ormandy was echter niet tevreden met de tijd die Sophos nodig had om de kritieke kwetsbaarheden die hij meldde te patchen. De problemen werden op 10 september aan het bedrijf gemeld, zei hij.

"In reactie op de vroege toegang tot dit rapport heeft Sophos wel een aantal middelen toegewezen om de besproken kwesties op te lossen, maar ze waren duidelijk slecht toegerust om de output van een coöperatieve, niet-contradictoire beveiligingsonderzoeker, "zei Ormandy. "Een geavanceerde, door de staat gesponsorde of zeer gemotiveerde aanvaller zou met gemak de hele Sophos-gebruikersgroep kunnen verwoesten." "Sophos beweert dat hun producten worden ingezet in de gezondheidszorg, de overheid, financiën en zelfs het leger", zei de onderzoeker. "De chaos die een gemotiveerde aanvaller voor deze systemen kan veroorzaken, is een realistische mondiale dreiging. Om deze reden mogen Sophos-producten alleen worden overwogen voor niet-kritieke systemen van lage waarde en nooit worden ingezet op netwerken of omgevingen waar een compleet compromis van tegenstanders ongemakkelijk zou zijn. "Ormandy's paper bevat een sectie waarin de beste werkwijzen en omvat de aanbevelingen van de onderzoeker voor Sophos-klanten, zoals het implementeren van noodplannen waarmee ze Sophos-antivirusinstallaties op korte termijn kunnen uitschakelen.

"Sophos kan eenvoudigweg niet snel genoeg reageren om aanvallen te voorkomen, zelfs wanneer het wordt geconfronteerd met een exploitatiewijze," zei hij.. "Mocht een aanvaller ervoor kiezen om Sophos Antivirus als doorgeefluik naar uw netwerk te gebruiken, dan zal Sophos eenvoudigweg niet in staat zijn om hun voortdurende inbreuk voor enige tijd te voorkomen, en u moet noodplannen implementeren om dit scenario af te handelen als u ervoor kiest om Sophos te blijven inzetten."