Исследователь обнаруживает критические уязвимости в антивирусном продукте Sophos

Исследователь безопасности Тавис Орманди обнаружил критические уязвимости в антивирусном продукте, разработанном британской фирмой Sophos по безопасности, и рекомендовал организациям избегайте использования продукта в критических системах, если поставщик не улучшит свою разработку продукта, гарантии качества и меры реагирования на безопасность.

Орманди, работающий инженером по информационной безопасности в Google, раскрыл подробности об уязвимостях, которые он обнаружил в исследовательском документе, озаглавленном " Sophail: Прикладные атаки против Sophos Anti вирус ", который был опубликован в понедельник. Орманди отметил, что исследование было проведено в его свободное время и что мнения, выраженные в документе, являются его собственными, а не его работодателем.

В документе содержатся сведения о нескольких уязвимостях в антивирусном коде Sophos, отвечающем за разбор Visual Basic 6, PDF, CAB и RAR. Некоторые из этих недостатков могут быть атакованы удаленно и могут привести к выполнению произвольного кода в системе.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Ormandy даже включил эксплойт доказательной концепции для уязвимости в анализе PDF, которая, как он утверждает, не требует взаимодействия с пользователем, не требует аутентификации и может быть легко преобразована в самораспространяющегося червя.

Исследователь построил эксплойт для Mac-версии антивируса Sophos, но отметил, что эта уязвимость также влияет на Windows и Linux версии продукта и эксплойт могут быть легко переведены на эти платформы.

Уязвимость в анализе PDF может быть использована путем простого получения электронной почты в Outlook или Mail.app, отмечает Ormandy в документе. Поскольку антивирус Sophos автоматически перехватывает операции ввода и вывода (ввода-вывода), открытие или чтение электронной почты даже не требуется.

«Самый реалистичный сценарий атаки для глобального сетевого червя - это самораспространение по электронной почте», - сказал Орманди. «Пользователь не должен взаимодействовать с электронной почтой, так как уязвимость будет автоматически использована».

Однако возможны и другие методы атаки - например, путем открытия любого файла любого типа, предоставляемого злоумышленником; исследователь, сказал он, посещая URL-адрес (даже в изолированном браузере) или встраивая изображения с использованием MIME cid: URL-адреса в электронное письмо, которое открывается в клиенте электронной почты. «Любой метод, который злоумышленник может использовать для обеспечения ввода-вывода, достаточен для использования этой уязвимости».

Ormandy также обнаружил, что компонент, называемый «системой защиты переполнения буфера» (BOPS), в комплекте с антивирусом Sophos, отключает ASLR (рандомизация расположения пространства в адресе) используют функцию предотвращения изменения во всех версиях Windows, которые поддерживают ее по умолчанию, включая Vista и более поздние версии.

«Просто невозможно обойти ASLR-систему как это, особенно, чтобы продать наивную альтернативу клиентам, которые функционально хуже, чем предоставленный Microsoft », - сказал Орманди.

Компонент черного списка сайтов для Internet Explorer, установленный антивирусом Sophos, отменяет защиту, предоставляемую функцией защищенного режима браузера, сказал исследователь. Кроме того, шаблон, используемый для отображения предупреждений компонентом «черный список», представляет универсальную уязвимость межсайтового скриптинга, которая побеждает в политике одинакового происхождения браузера.

Политика одинакового происхождения - «один из основных механизмов безопасности, который делает Интернет безопасным для - сказал Орманди. «С той же самой политикой происхождения, что вредоносный веб-сайт может взаимодействовать с вашими системами Mail, Intranet Systems, Registrar, Banks и Payroll и т. Д.»

Комментарии Орманди на протяжении всего документа предполагают, что многие из этих уязвимостей должны были быть пойманы в процессе разработки продукта и обеспечения качества.

Исследователь поделился своими выводами с Sophos заранее, и компания выпустила исправления безопасности для уязвимостей, описанных в документе. Некоторые исправления были выпущены 22 октября, а остальные были выпущены 5 ноября, говорится в сообщении компании в понедельник в блоге.

Есть еще некоторые потенциально доступные проблемы, обнаруженные Ormandy через fuzzing - тестирование безопасности метод, который был разделен с Sophos, но не публиковался. Эти вопросы рассматриваются, и исправления для них начнутся 28 ноября, говорится в сообщении компании.

«Как безопасность компании, безопасность клиентов является основной обязанностью Sophos, - сказал Софос. «В результате эксперты Sophos расследуют все отчеты об уязвимостях и обеспечивают наилучший курс действий в максимально сжатые сроки».

«Хорошо, что Sophos удалось доставить набор исправлений в течение нескольких недель и не нарушать клиентов «обычные операции», - сказал во вторник г-н Грэм Клули, старший технический консультант Sophos, по электронной почте. «Мы благодарны, что Tavis Ormandy обнаружил уязвимости, поскольку это помогло улучшить продукты Sophos».

Однако Орманди не был удовлетворен тем, как Sophos потребовалось для исправления критических уязвимостей, о которых он сообщал. Эти вопросы были сообщены компании 10 сентября, сказал он.

«В ответ на ранний доступ к этому отчету Sophos выделил некоторые ресурсы для решения обсуждаемых вопросов, однако они явно плохо подготовлены для обработки результатов один кооперативный, неконфликтный исследователь безопасности », - сказал Орманди. «Сложный государственный или высокомотивированный злоумышленник может легко уничтожить всю базу пользователей Sophos».

«Sophos утверждает, что их продукты развернуты по всему здравоохранению, правительству, финансам и даже военным», - сказал исследователь. «Хаос, мотивированный злоумышленник, может привести к тому, что эти системы представляют собой реалистичную глобальную угрозу. По этой причине продукты Sophos следует рассматривать только для малоценных некритических систем и никогда не развертываться в сетях или средах, где полный компромисс со стороны противников будет неудобным ».

В документе Орманди содержится раздел, в котором описываются лучшие практики и включает рекомендации исследователя для клиентов Sophos, такие как внедрение планов на случай непредвиденных обстоятельств, которые позволят им в короткие сроки отключить антивирусные установки Sophos.

«Sophos просто не может реагировать достаточно быстро, чтобы предотвратить атаки, даже если они были представлены с помощью рабочего эксплойта», - сказал он, «Если злоумышленник решит использовать Sophos Antivirus в качестве своего канала в вашей сети, Sophos просто не сможет предотвратить их дальнейшее вторжение в течение некоторого времени, и вы должны реализовать планы на случай непредвиденных ситуаций для обработки этого сценария, если вы решите продолжить развертывание Sophos».