Forsker finner kritiske sårbarheter i Sophos antivirusprodukt

Sikkerhetsforsker Tavis Ormandy oppdaget kritiske sårbarheter i antivirusproduktet utviklet av britisk sikkerhetsfirma Sophos og anbefalte organisasjoner til å unngå at du bruker produktet på kritiske systemer, med mindre leverandøren forbedrer produktutviklingen, kvalitetssikringen og sikkerhetsresponsen.

Ormandy, som jobber som informasjonssikkerhetsingeniør hos Google, avslørte detaljer om de sårbarhetene han fant i et forskningspapir med tittelen " Sophail: Anvendte angrep mot Sophos Anti virus "som ble publisert på mandag. Ormandy bemerket at undersøkelsen ble utført i fritiden, og at utsikten uttrykt i papiret er hans egen og ikke dennes arbeidsgiver.

Papiret inneholder detaljer om flere sårbarheter i Sophos antiviruskode som er ansvarlig for å analysere Visual Basic 6, PDF, CAB og RAR-filer. Noen av disse feilene kan angripes eksternt, og kan resultere i utførelse av vilkårlig kode på systemet.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Ormandy inkluderte også et proof of concept-utnyttelse for PDF-parsing-sårbarheten, som han hevder, krever ingen brukerinteraksjon, ingen autentisering og kan enkelt omdannes til en selvfordrende orm.

Forskeren bygget ut for Mac-versjonen av Sophos antivirus, men bemerket at sårbarheten også påvirker Windows og Linux-versjoner av produktet og utnyttelsen kan enkelt oversettes til disse plattformene.

PDF-parsing-sårbarheten kan utnyttes ved bare å motta en e-post i Outlook eller Mail.app, sa Ormandy i avisen. Fordi Sophos antivirus automatisk avbryter inngangs- og utdataoperasjoner (I / O), er det ikke engang nødvendig å åpne eller lese e-posten.

"Det mest realistiske angrepsscenariet for en global nettverksorm er selvutbredelse via e-post," sa Ormandy. "Ingen brukere er pålagt å samhandle med e-posten, da sikkerhetsproblemet vil bli utnyttet automatisk."

Men andre angrepsmetoder er også mulige, for eksempel ved å åpne noen filer av hvilken som helst type som angis av en angriper. besøker en nettadresse (til og med i en sandboksert nettleser), eller innebygge bilder ved hjelp av MIME cid: nettadresser i en e-post som åpnes i en webmail klient, sa forskeren. "En hvilken som helst metode en angriper kan bruke til å forårsake at jeg / O er nok til å utnytte dette sikkerhetsproblemet."

Ormandy fant også at en komponent som heter "Buffer Overflow Protection System" (BOPS) som følger med Sophos antivirus, deaktiverer ASLR (randomisering av adresseplasslayout) utnytte reduksjonsfunksjonen på alle Windows-versjoner som støtter den som standard, inkludert Vista og senere.

"Det er ganske enkelt unødvendig å deaktivere ASLR systematisk slik, spesielt for å selge et naivt alternativ til kunder som er funksjonelt dårligere enn det som ble gitt av Microsoft, sier Ormandy.

En nettside blacklisting komponent for Internet Explorer installert av Sophos antivirus avbryter beskyttelsen som tilbys av nettleserens Protected Mode-funksjon, sa forskeren. I tillegg presenterer malen som brukes til å vise advarsler av den svarte listen komponenten et sårbarhet på tvers av nettsiden, som besvimer nettleserens samme opprinnelsespolicy.

Den samme opprinnelsespolitikken er "en av de grunnleggende sikkerhetsmekanismer som gjør Internett trygt til å bruk, sier ormandy. "Med den samme opprinnelsespolitikken beseiret, kan et ondsinnet nettsted samhandle med Mail, Intranet Systems, Registrar, Banker og Lønnsystem, og så videre."

Ormandys kommentarer i hele papiret tyder på at mange av disse sårbarhetene skulle ha blitt fanget under produktutviklings- og kvalitetssikringsprosessene.

Forskeren delte sine funn med Sophos på forhånd og selskapet løste sikkerhetsrettelser for de sårbarhetene som ble beskrevet i papiret. Noen av rettighetene ble rullet ut 22. oktober, mens de andre ble utgitt 5. november, sa firmaet mandag i et blogginnlegg.

Det er fortsatt noen potensielt utnyttbare problemer som Ormandy oppdaget gjennom fuzzing-en sikkerhetstesting metode-som ble delt med Sophos, men ble ikke offentliggjort. Disse problemene blir undersøkt og rettelser for at de vil bli utdelt 28. november, sier selskapet.

"Som et sikkerhetsselskap holder Sophos hovedansvar," sa Sophos. "Som et resultat av dette, undersøker Sophos-eksperter alle sårbarhetsrapporter og gjennomfører det beste tiltaket i den strengeste tidsperioden som er mulig."

"Det er bra at Sophos har kunnet levere pakken med reparasjoner innen uker, og uten å forstyrre kunder "Vanlige operasjoner," sa Graham Cluley, senior teknisk konsulent hos Sophos, tirsdag via e-post. "Vi er takknemlige for at Tavis Ormandy har funnet sårbarhetene, da dette har bidratt til å gjøre Sophos produkter bedre."

Men Ormandy var ikke fornøyd med den tiden det tok Sophos å la de kritiske sårbarhetene han rapporterte. Problemene ble rapportert til selskapet 10. september, sa han.

"Som svar på tidlig tilgang til denne rapporten, tildelte Sophos noen ressurser for å løse problemene som ble diskutert, men de var tydelig dårlig utstyrt for å håndtere utgangen av en samarbeidende, ikke-kontroversiell sikkerhetsforsker, sier Ormandy. "En sofistikert statsstøttet eller motivert angriper kan enkelt ødelegge hele Sophos brukerbasen."

"Sophos hevder at produktene deres er distribuert gjennom helsevesen, regjeringen, økonomien og til og med militæret," sa forskeren. "Kaoset som en motivert angriper kan føre til at disse systemene er en realistisk global trussel. Av denne grunn bør Sophos produkter bare bli vurdert for lavverdige ikke-kritiske systemer og aldri distribuert på nettverk eller miljøer der et kompromiss av motstandere ville være ubeleilig. "

Ormandys papir inneholder et avsnitt som beskriver beste praksis og inkluderer forskerens anbefalinger for Sophos kunder, som å implementere beredskapsplaner som vil tillate dem å deaktivere Sophos antivirusinstallasjoner med kort varsel.

"Sophos kan rett og slett ikke reagere fort nok til å hindre angrep, selv når det presenteres med en fungerende utnyttelse", sa han. "Hvis en angriper velger å bruke Sophos Antivirus som ledning i nettverket ditt, vil Sophos ganske enkelt ikke kunne hindre deres fortsatte innbrudd i noen tid, og du må gjennomføre beredskapsplaner for å håndtere dette scenariet hvis du velger å fortsette å distribuere Sophos."