Resolver findet kritische Sicherheitslücken in Sophos Antivirus-Produkt

Der Sicherheitsforscher Tavis Ormandy hat kritische Sicherheitslücken in dem von der britischen Sicherheitsfirma Sophos entwickelten Antivirenprodukt entdeckt Vermeiden Sie die Verwendung des Produkts auf kritischen Systemen, es sei denn, der Anbieter verbessert seine Produktentwicklung, Qualitätssicherung und Sicherheitsmaßnahmen.

Ormandy, der bei Google als Ingenieur für Informationssicherheit tätig ist, gab Details zu den Schwachstellen in einer Forschungsarbeit mit dem Titel " Sophil: Angewandte Angriffe gegen Sophos Anti Virus ", die am Montag veröffentlicht wurde. Ormandy merkte an, dass die Forschung in seiner Freizeit durchgeführt wurde und dass die in der Zeitung geäußerten Ansichten seine eigenen sind und nicht die seines Arbeitgebers.

Das Papier enthält Details über verschiedene Schwachstellen im Sophos Anti-Virus Code, der für das Parsen von Visual Basic 6 verantwortlich ist, PDF-, CAB- und RAR-Dateien. Einige dieser Fehler können remote angegriffen werden und können zur Ausführung von beliebigem Code auf dem System führen.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Ormandy hat sogar einen Proof-of-Concept-Exploit eingebaut für die PDF-Parsing-Schwachstelle, die er fordert keine Benutzerinteraktion, keine Authentifizierung und kann leicht in eine sich selbst verbreiten Wurm umgewandelt werden.

Der Forscher baute den Exploit für die Mac-Version von Sophos Antivirus, aber zur Kenntnis genommen, dass die Sicherheitslücke auch betrifft Windows- und Linux-Versionen des Produkts und des Exploits können leicht auf diese Plattformen übersetzt werden.

Die PDF-Parsing-Schwachstelle kann einfach durch den Empfang einer E-Mail in Outlook oder Mail.app ausgenutzt werden, sagte Ormandy in der Zeitung. Da Sophos Anti-Virus automatisch Ein- und Ausgabeoperationen (E / A) abfängt, ist das Öffnen oder Lesen der E-Mail nicht einmal notwendig.

"Das realistischste Angriffsszenario für einen globalen Netzwerkwurm ist die automatische Weiterleitung per E-Mail", sagte Ormandy. "Es ist nicht erforderlich, dass Benutzer mit der E-Mail interagieren, da die Sicherheitslücke automatisch ausgenutzt wird."

Es sind jedoch auch andere Angriffsmethoden möglich, z. B. durch Öffnen einer beliebigen Datei eines Angreifers; Besuchen einer URL (auch in einem Sandbox-Browser) oder Einbetten von Bildern mit MIME cid: URLs in eine E-Mail, die in einem Webmail-Client geöffnet wird, sagte der Forscher. "Jede Methode, die ein Angreifer verwenden kann, um I / O zu verursachen, reicht aus, um diese Sicherheitsanfälligkeit auszunutzen."

Ormandy fand auch heraus, dass eine Komponente namens "Buffer Overflow Protection System" (BOPS), die im Lieferumfang von Sophos Antivirus enthalten ist, die ASLR deaktiviert (Adressraum-Layout-Randomisierung) Exploit-Mitigation-Funktion auf allen Windows-Versionen, die es standardmäßig unterstützen, einschließlich Vista und später.

"Es ist einfach unverzeihlich, ASLR systemweit so zu deaktivieren, vor allem, um eine naive Alternative zu Kunden zu verkaufen funktional schlechter als das von Microsoft zur Verfügung gestellt ", sagte Ormandy.

Eine Website Blacklisting-Komponente für Internet Explorer von Sophos Antivirus installiert bricht den Schutz von der Protected Mode-Funktion des Browsers angeboten, sagte der Forscher. Darüber hinaus führt die Vorlage zur Anzeige von Warnungen durch die Blacklisting-Komponente eine universelle Cross-Site-Scripting-Schwachstelle ein, die die Same-Origin-Richtlinie des Browsers zunichte macht.

Die Same-Origin-Richtlinie ist "einer der grundlegenden Sicherheitsmechanismen, die das Internet sicher machen benutzen Sie ", sagte Ormandy. "Wenn die Same Origin Policy besiegt wird, kann eine bösartige Website mit Ihren E-Mail-, Intranet-, Registrar-, Bank- und Gehaltsabrechnungssystemen usw. interagieren."

Ormandys Kommentare im Papier deuten darauf hin, dass viele dieser Sicherheitslücken aufgeflogen sein sollten während der Produktentwicklung und der Qualitätssicherungsprozesse.

Der Forscher teilte seine Ergebnisse im Voraus mit Sophos und das Unternehmen veröffentlichte Sicherheitsupdates für die in der Veröffentlichung offengelegten Schwachstellen. Einige der Fixes wurden am 22. Oktober veröffentlicht, während die anderen am 5. November veröffentlicht wurden, sagte das Unternehmen am Montag in einem Blogbeitrag.

Es gibt immer noch einige potentiell ausnutzbare Probleme, die Ormandy durch Fuzzing entdeckt hat - ein Sicherheitstest Methode - die mit Sophos geteilt, aber nicht öffentlich bekannt gegeben wurden. Diese Probleme werden geprüft, und es werde am 28. November mit der Einführung von Lösungen beginnen.

"Als Sicherheitsunternehmen ist die Hauptverantwortung für Sophos die Sicherheit der Kunden", sagte Sophos. "Sophos Experten untersuchen daher alle Schwachstellenberichte und implementieren die besten Vorgehensweisen in kürzester Zeit."

"Es ist gut, dass Sophos die Fixes innerhalb weniger Wochen liefern konnte, ohne die Kunden zu stören "Gewöhnliche Operationen", sagte Graham Cluley, Senior Technology Consultant bei Sophos, am Dienstag per E-Mail. "Wir sind dankbar, dass Tavis Ormandy die Schwachstellen gefunden hat, da dies die Produkte von Sophos verbessert hat."

Ormandy war jedoch nicht zufrieden mit der Zeit, die Sophos benötigte, um die von ihm gemeldeten kritischen Schwachstellen zu patchen. Die Probleme wurden dem Unternehmen am 10. September gemeldet, sagte er.

"Als Reaktion auf den frühzeitigen Zugriff auf diesen Bericht hat Sophos einige Ressourcen zur Lösung der erörterten Probleme bereitgestellt, die jedoch eindeutig nicht in der Lage waren, die Ergebnisse von ein kooperativer, nicht gegnerischer Sicherheitsforscher ", sagte Ormandy. "Ein hochentwickelter staatlich geförderter oder hochmotivierter Angreifer könnte die gesamte Benutzerbasis von Sophos mit Leichtigkeit vernichten."

"Sophos behauptet, dass seine Produkte im gesamten Gesundheitswesen, in der Regierung, im Finanzwesen und sogar im Militär eingesetzt werden", sagte der Forscher. "Das Chaos, das ein motivierter Angreifer diesen Systemen zufügen kann, ist eine realistische globale Bedrohung. Aus diesem Grund sollten Sophos-Produkte immer nur für Systeme mit geringem Wert und nicht für Systeme in Netzwerken oder Umgebungen eingesetzt werden, in denen eine vollständige Kompromittierung durch Angreifer unpraktisch wäre. "

Ormandys Artikel enthält einen Abschnitt, der Best Practices und schließt die Empfehlungen des Forschers für Sophos Kunden ein, etwa die Implementierung von Notfallplänen, um Sophos Antivirus-Installationen kurzfristig zu deaktivieren.

"Sophos kann nicht schnell genug reagieren, um Angriffe zu verhindern, auch wenn es mit einem funktionierenden Exploit versehen ist", sagte er. "Sollte sich ein Angreifer dafür entscheiden, Sophos Antivirus als Verbindung zu Ihrem Netzwerk zu nutzen, kann Sophos sein anhaltendes Eindringen für einige Zeit nicht verhindern. Sie müssen Notfallpläne implementieren, um dieses Szenario zu bewältigen, wenn Sie Sophos weiterhin bereitstellen."