חוקר מגלה פגיעות קריטית במוצר האנטי וירוס של Sophos

חוקר אבטחה Tavis Ormandy גילה פגיעות קריטית במוצר האנטי-וירוס שפותח על-ידי חברת האבטחה Sophos, הימנע משימוש במוצר במערכות קריטיות, אלא אם כן הספק משפר את פיתוח המוצר, אבטחת האיכות ותגובת האבטחה שלו.

Ormandy, שעובד כמתכנן של אבטחת מידע ב- Google, גילה פרטים על הפגיעויות שמצא במאמר מחקר שכותרתו " Sophail: התקפות שימושיות נגד Sophos אנטי וירוס "שפורסם ביום שני. Ormandy ציין כי המחקר בוצע בזמנו הפנוי וכי הדעות המובעות במאמר הן שלו ולא של מעסיקו.

המסמך מכיל פרטים על מספר פגיעויות בקוד האנטי וירוס של Sophos האחראי על ניתוח Visual Basic 6, PDF, CAB ו קבצי RAR. חלק מהליקויים האלה יכולים להיות מותקפים מרחוק ויכולים לגרום לביצוע קוד שרירותי על המערכת. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

Ormandy אפילו כלל הוכחה של ניצול לרעה עבור הפגיעות של ניתוח PDF, שלטענתו אינה דורשת אינטראקציה של המשתמש, ללא אימות וניתן להפוך אותה בקלות לתולעת המתפשטת בעצמה.

החוקר בנה את הניצול עבור גירסת Mac של אנטי וירוס Sophos, אך ציין כי הפגיעות משפיעה גם על גירסאות Windows ו- Linux של המוצר והניצול ניתן לתרגום בקלות לפלטפורמות אלה.

ניתן לנצל את הפגיעות של ניתוח PDF על ידי קבלת הודעת אימייל ב- Outlook או Mail.app, אמר אורמנדי בעיתון. מאחר ש- Sophos אנטי וירוס מבצע באופן אוטומטי פעולות קלט ופלט (I / O), פתיחה או קריאה של הודעת האימייל אינה נחוצה.

"תרחיש ההתקפה הריאליסטי ביותר עבור תולעת רשת גלובלית הוא התפשטות עצמית באמצעות הדוא"ל", אמר אורמנדי. "לא נדרשים משתמשים לקיים אינטראקציה עם האימייל, שכן הפגיעות תנצל באופן אוטומטי".

עם זאת, שיטות התקפה אחרות הן גם אפשריות - לדוגמה, על-ידי פתיחת כל קובץ מכל סוג שסופק על-ידי תוקף; ביקור בכתובת אתר (אפילו בדפדפן עם ארגז חול), או הטבעה של תמונות באמצעות MIME cid: כתובות אתר לדואר אלקטרוני שנפתח בלקוח דוא"ל, אמר החוקר. "כל שיטה שתוקף יכול להשתמש בה כדי לגרום ל- I / O מספיק כדי לנצל את הפגיעות."

Ormandy מצא גם כי רכיב הנקרא "Buffer Overflow Protection System" (BOPS), אשר יחד עם אנטי וירוס Sophos, משבית את ASLR (כתובת אקראית של פריסת החלל) לנצל את תכונת ההקלה על כל גרסאות Windows התומכות בה כברירת מחדל, כולל Vista ואילך.

"זה פשוט בלתי נסבל להשבית את מערכת ASLR כך, במיוחד כדי למכור חלופה נאיבית ללקוחות, אומר אורמנדי, כי רכיב המניעה של אתרי אינטרנט עבור Internet Explorer שהותקן על ידי Sophos Antivirus, מבטל את ההגנה המוצעת על-ידי התכונה 'מצב מוגן' של הדפדפן. בנוסף, התבנית המשמשת להצגת האזהרות על ידי רכיב המניעה מציגה פגיעות אוניברסלית של Scripting בין אתרים, המביסה את מדיניות המקור של אותו דפדפן.

מדיניות המקור זהה היא "אחד ממנגנוני האבטחה הבסיסיים שהופכים את האינטרנט לבטוח "אמר אורמנדי. "עם אותה מדיניות מקור מובסת, אתר זדוני יכול לקיים אינטראקציה עם מערכות הדואר, האינטראנט, הרשם, הבנקים והמשכורות וכן הלאה". [

] הערותיו של אורמנדי לאורך כל המאמר מראות כי רבים מפגיעות אלה היו אמורות להיתפס במהלך פיתוח המוצר ותהליכי אבטחת איכותהחוקר שיתף את ממצאיו עם סופוס מראש והחברה פרסמה תיקוני אבטחה עבור הפגיעויות שנחשפו בעיתון. חלק מהתיקונים התגלגלו ב -22 באוקטובר, בעוד שאחרים שוחררו ב -5 בנובמבר, כך דיווחה החברה ביום שני בבלוג שלה.

ישנם עדיין כמה בעיות שאפשר לנצלן על ידי אורמנדי באמצעות fuzzing-a בדיקות אבטחה שיטה ששותפו עם סופוס, אך לא נחשפו בפומבי. נושאים אלה נבדקים ותיקונים עבורם יתחילו להתגלגל ב -28 בנובמבר, אמר החברה. "כחברת אבטחה, שמירה על הלקוחות היא האחריות העיקרית של סופוס", אמר סופוס. "כתוצאה מכך, מומחים Sophos לחקור את כל דוחות הפגיעות וליישם את מהלך הפעולה הטוב ביותר בפרק הזמן הדרוש ביותר."

"זה טוב כי סופוס הצליח לספק את חבילת התיקונים בתוך שבועות, מבלי להפריע ללקוחות "הפעולות הרגילות", אמר גרהם קולי, יועץ טכנולוגי בכיר ב- Sophos. "אנו אסירי תודה כי Tavis Ormandy מצאו את הפגיעויות, שכן זה עזר להפוך את המוצרים של Sophos טוב יותר." עם זאת, Ormandy לא היה מרוצה עם הזמן זה לקח Sophos כדי לתקן את נקודות התורפה הקריטי הוא דיווח. על פי הגישה המוקדמת לדו"ח זה, סופוס אמנם הקצה כמה משאבים לפתרון הסוגיות הנדונות, אך ברור היה כי הן אינן מצוידות כראוי לטיפול בתפוקה של חוקר אבטחה אחד, לא-אופרסי, "אמר אורמנדי. "מתקיף מתוחכם או בעל מוטיבציה גבוהה יכול להרוס את כל המשתמשים Sophos בסיס בקלות."

"Sophos טוענים המוצרים שלהם פרוסים בכל רחבי הבריאות, הממשלה, כספים ואפילו הצבא", אמר החוקר. "התוהו ובוהו שתוקף עלול לגרום למערכות אלו הוא איום גלובלי ריאליסטי. מסיבה זו, מוצרים של Sophos צריכים להיחשב אי פעם למערכות לא קריטיות בעלות ערך נמוך ולא נפרסו מעולם ברשתות או בסביבות שבהן פשרה מלאה של היריבים לא תהיה נוחה ".

נייר של Ormandy מכיל סעיף המתאר את השיטות המומלצות כולל המלצות של החוקרים ללקוחות Sophos, כמו יישום תוכניות חירום שיאפשרו להם להשבית את התקנות האנטי-וירוס של Sophos בהתראה קצרה.

"Sophos פשוט לא יכול להגיב מהר מספיק כדי למנוע התקפות, גם כאשר הוא מוצג עם ניצול לרעה", הוא אומר.. "אם התוקף יבחר להשתמש ב- Sophos Antivirus כצינור שלהם לרשת, Sophos פשוט לא יוכל למנוע את החדירה המתמשכת שלהם במשך זמן מה, ועליך ליישם תוכניות מגירה כדי לטפל בתרחיש זה אם תבחר להמשיך לפרוס את Sophos".