Forskare finner kritiska sårbarheter i Sophos antivirusprodukt

Säkerhetsforskare Tavis Ormandy upptäckte kritiska sårbarheter i antivirusprodukten som utvecklats av det brittiska säkerhetsföretaget Sophos och uppmanade organisationer att Undvik att använda produkten på kritiska system såvida inte säljaren förbättrar produktutveckling, kvalitetssäkring och säkerhetsrespons.

Ormandy, som arbetar som informationssäkerhetsingenjör på Google, redogjorde för de sårbarheter han fann i ett forskningsdokument med titeln " Sophail: Tillämpade attacker mot Sophos Anti virus "som publicerades på måndag. Ormandy noterade att forskningen utfördes på fritiden och att åsikterna i papperet är egna och inte hans arbetsgivare.

I papperet finns information om flera sårbarheter i Sophos antiviruskod som ansvarar för att analysera Visual Basic 6, PDF, CAB och RAR-filer. Några av dessa brister kan angripas på distans och kan resultera i utförandet av godtycklig kod på systemet.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Ormandy inkluderade även en proof of concept-exploit för den parsingproblem som han hävdar kräver ingen användarinteraktion, ingen autentisering och kan enkelt omvandlas till en självfördelande mask.

Forskaren byggde exploateringen för Mac-versionen av Sophos antivirus men noterade att sårbarheten också påverkar Windows och Linux-versioner av produkten och utnyttjandet kan enkelt översättas till dessa plattformar.

Sårbarheten för PDF-analys kan utnyttjas genom att bara ta emot ett mail i Outlook eller Mail.app, sade Ormandy i tidningen. Eftersom Sophos antivirus automatiskt avbryter inmatning och utmatning (I / O), är det inte ens nödvändigt att öppna eller läsa e-postmeddelandet.

"Det mest realistiska angreppsscenariet för en global nätverksmask är självförökning via e-post, säger Ormandy. "Inga användare är skyldiga att interagera med e-postmeddelandet eftersom sårbarheten kommer att utnyttjas automatiskt."

Men andra attacker är också möjliga, till exempel genom att öppna vilken fil som helst av en angripare. besöker en webbadress (även i en sandboxad webbläsare) eller inbäddar bilder med MIME cid: URL-adresser i ett e-postmeddelande som öppnas i en webbmailklient, sa forskaren. "Varje metod som en angripare kan använda för att få I / O att utnyttja denna sårbarhet."

Ormandy fann också att en komponent som kallas "Buffer Overflow Protection System" (BOPS) som är buntat med Sophos antivirus, inaktiverar ASLR (randomisering av adressrumslayout) utnyttjande av alla Windows-versioner som stöder det som standard, inklusive Vista och senare.

"Det är helt enkelt oförskräckligt att inaktivera ASLR systematiskt så här, särskilt för att sälja ett naivt alternativ till kunder som är funktionellt sämre än vad som tillhandahålls av Microsoft, säger Ormandy.

En webbplats för svartlistning för Internet Explorer installerad av Sophos antivirus avbryter skyddet som erbjuds av webbläsarens Protected Mode-funktion, sa forskaren. Dessutom presenterar mallen som används för att visa varningar av den svarta listan komponenten ett universellt skript för sårbarhet som skadar webbläsarens samma ursprungspolitik.

Samma ursprungspolitik är "en av de grundläggande säkerhetsmekanismerna som gör Internet säkert att använd ", säger Ormandy. "Med samma ursprungspolitik besegrad kan en skadlig webbplats interagera med din post, intranät, registrator, banker och lönesystem etc."

Ormandys kommentarer i hela papperet antyder att många av dessa sårbarheter borde ha fångats under produktutveckling och kvalitetssäkring processer.

Forskaren delade sina resultat med Sophos i förväg och företaget släppte säkerhetsfixar för de sårbarheter som beskrivs i tidningen. Några av korrigeringsalternativen rullades ut den 22 oktober, medan de andra släpptes den 5 november, sa företaget i måndags i ett blogginlägg.

Det finns fortfarande några potentiellt exploaterbara problem som upptäckts av Ormandy genom fuzzing-en säkerhetsprovning metod som delades med Sophos, men inte offentliggjordes. Dessa frågor undersöks och korrigeringar för att de börjar rulla ut den 28 november, säger bolaget.

"Som ett säkerhetsföretag är Sophos huvudansvar att hålla kunderna säkra," sa Sophos. "Därför undersöker Sophos-experter alla sårbarhetsrapporter och genomför den bästa åtgärden under den kortaste möjliga tidsperioden."

"Det är bra att Sophos har kunnat leverera paketpaketet inom några veckor och utan att störa kunderna "Vanlig verksamhet", Graham Cluley, en senior teknikkonsult vid Sophos, sa tisdag via e-post. "Vi är tacksamma att Tavis Ormandy hittade sårbarheterna, eftersom det har hjälpt Sophos produkter att bli bättre."

Men Ormandy var inte nöjd med den tid det tog Sophos att klistra in de kritiska sårbarheterna han rapporterade. Problemen rapporterades till företaget den 10 september, säger han.

"Som svar på tidig tillgång till denna rapport tilldelade Sophos vissa resurser för att lösa de diskuterade frågorna, men de var tydligt dåligt utrustade för att hantera produktionen av en kooperativ, icke-kontradiktorisk säkerhetsforskare, säger Ormandy. "En sofistikerad statssponsorerad eller motiverad angripare kan enkelt förgöra hela Sophos användarbas". "Sophos hävdar att deras produkter används inom hälso- och sjukvård, regering, finans och till och med militären," sa forskaren. "Det kaos som en motiverad angripare kan orsaka för dessa system är ett realistiskt globalt hot. Av den anledningen ska Sophos produkter endast kunna övervägas för icke-kritiska system med lågt värde och aldrig distribueras på nät eller miljöer där en kompromiss av motståndare skulle vara obekväma. "

Ormandys papper innehåller ett avsnitt som beskriver bästa praxis och inkluderar forskarens rekommendationer till Sophos kunder, som att implementera beredskapsplaner som gör det möjligt för dem att inaktivera Sophos antivirusinstallationer med kort varsel.

"Sophos kan helt enkelt inte reagera tillräckligt snabbt för att förhindra attacker, även när de presenteras med ett fungerande utnyttjande", sa han. "Om en angripare väljer att använda Sophos Antivirus som ledning till ditt nätverk, kommer Sophos helt enkelt inte att kunna förhindra deras fortsatta intrång under en tid, och du måste genomföra beredskapsplaner för att hantera detta scenario om du väljer att fortsätta använda Sophos."