Il ricercatore trova vulnerabilità critiche nel prodotto antivirus Sophos

Il ricercatore di sicurezza Tavis Ormandy ha scoperto vulnerabilità critiche nel prodotto antivirus sviluppato dalla società di sicurezza Sophos con sede nel Regno Unito e ha consigliato alle organizzazioni di evitare l'uso del prodotto su sistemi critici a meno che il fornitore non migliori le sue pratiche di sviluppo prodotto, garanzia della qualità e risposta alla sicurezza.

Ormandy, che lavora come tecnico della sicurezza informatica presso Google, ha rivelato dettagli sulle vulnerabilità che ha trovato in un documento di ricerca intitolato " Sophail: attacchi applicati contro Sophos Anti virus "che è stato pubblicato lunedì. Ormandy ha osservato che la ricerca è stata eseguita nel suo tempo libero e che le opinioni espresse nel documento sono sue e non quelle del suo datore di lavoro.

Il documento contiene dettagli su diverse vulnerabilità nel codice antivirus di Sophos responsabile dell'analisi di Visual Basic 6, PDF, CAB e file RAR. Alcuni di questi difetti possono essere attaccati in remoto e possono comportare l'esecuzione di codice arbitrario sul sistema.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Ormandy includeva anche un exploit proof-of-concept per la vulnerabilità dell'analisi PDF che afferma non richiede interazione con l'utente, nessuna autenticazione e può essere facilmente trasformata in un worm auto-diffondente.

Il ricercatore ha costruito l'exploit per la versione Mac dell'antivirus Sophos, ma ha rilevato che anche la vulnerabilità influisce Le versioni Windows e Linux del prodotto e l'exploit possono essere facilmente tradotte in queste piattaforme.

La vulnerabilità dell'analisi PDF può essere sfruttata semplicemente ricevendo una email in Outlook o Mail.app, ha detto Ormandy nel documento. Poiché Sophos antivirus intercetta automaticamente le operazioni di input e output (I / O), l'apertura o la lettura dell'e-mail non è nemmeno necessaria.

"Lo scenario di attacco più realistico per un worm di rete globale è l'auto-propagazione via e-mail", ha detto Ormandy. "Nessun utente è tenuto a interagire con l'e-mail, poiché la vulnerabilità verrà sfruttata automaticamente."

Tuttavia, sono possibili anche altri metodi di attacco, ad esempio aprendo qualsiasi file di qualsiasi tipo fornito da un utente malintenzionato; visitando un URL (anche in un browser sandbox) o incorporando immagini usando cid MIME: URL in un messaggio di posta elettronica aperto in un client webmail, ha detto il ricercatore. "Qualsiasi metodo che un utente malintenzionato può utilizzare per causare l'I / O è sufficiente per sfruttare questa vulnerabilità."

Ormandy ha anche rilevato che un componente denominato "Buffer Overflow Protection System" (BOPS) fornito con Sophos antivirus disabilita l'ASLR (randomizzazione del layout di spazio degli indirizzi) sfruttare la funzionalità di attenuazione su tutte le versioni di Windows che lo supportano per impostazione predefinita, incluso Vista e versioni successive.

"È semplicemente imperdonabile disabilitare ASLR in tutto il sistema come questo, soprattutto per vendere un'alternativa ingenua ai clienti che è funzionalmente più povero di quello fornito da Microsoft ", ha detto Ormandy.

Un componente di blacklist del sito Web per Internet Explorer installato da Sophos antivirus annulla la protezione offerta dalla funzionalità di modalità protetta del browser, ha detto il ricercatore. Inoltre, il modello utilizzato per visualizzare gli avvertimenti dal componente di blacklist introduce una vulnerabilità universale di scripting cross-site che sconfigge lo stesso criterio di origine del browser.

Lo stesso criterio di origine è "uno dei meccanismi di sicurezza fondamentali che rende Internet sicuro usare ", ha detto Ormandy. "Con la politica della stessa origine sconfitta, un sito Web dannoso può interagire con i sistemi di posta, Intranet, registro, banche e buste paga e così via."

I commenti di Ormandy in tutto il documento suggeriscono che molte di queste vulnerabilità avrebbero dovuto essere scoperte durante lo sviluppo del prodotto e i processi di garanzia della qualità.

Il ricercatore ha condiviso le sue scoperte con Sophos in anticipo e la società ha rilasciato soluzioni di sicurezza per le vulnerabilità descritte nel documento. Alcune delle correzioni sono state lanciate il 22 ottobre, mentre le altre sono state rilasciate il 5 novembre, la società ha detto lunedì su un post del blog.

Ci sono ancora alcuni problemi potenzialmente sfruttabili scoperti da Ormandy attraverso la fuzzing: un test di sicurezza metodo - condiviso con Sophos, ma non divulgato pubblicamente. Questi problemi sono stati esaminati e le soluzioni per loro inizieranno a essere implementate il 28 novembre, ha dichiarato la società.

"Come società di sicurezza, mantenere i clienti al sicuro è la responsabilità principale di Sophos", ha affermato Sophos. "Di conseguenza, gli esperti Sophos analizzano tutti i report di vulnerabilità e implementano la migliore linea d'azione nel più stretto periodo di tempo possibile."

"È bello che Sophos sia stata in grado di fornire la suite di correzioni in poche settimane e senza interrompere i clienti "Le solite operazioni", ha dichiarato Graham Cluley, consulente tecnologico senior presso Sophos, via e-mail. "Siamo grati che Tavis Ormandy abbia trovato le vulnerabilità, poiché questo ha contribuito a migliorare i prodotti Sophos."

Tuttavia, Ormandy non era soddisfatto del tempo impiegato da Sophos per riparare le vulnerabilità critiche che segnalava. I problemi sono stati segnalati all'azienda il 10 settembre, ha detto.

"In risposta all'accesso anticipato a questo rapporto, Sophos ha stanziato alcune risorse per risolvere i problemi discussi, tuttavia erano chiaramente mal equipaggiati per gestire l'output di un ricercatore cooperativo, non ostile alla sicurezza ", ha detto Ormandy. "Un aggressore sofisticato sponsorizzato dallo stato o altamente motivato potrebbe devastare l'intera base utenti di Sophos con facilità."

"Sophos afferma che i suoi prodotti sono distribuiti in tutta l'assistenza sanitaria, governativa, finanziaria e persino militare", ha affermato il ricercatore. "Il caos che un aggressore motivato potrebbe causare a questi sistemi è una minaccia globale realistica. Per questo motivo, i prodotti Sophos dovrebbero essere sempre considerati per sistemi non critici di basso valore e mai distribuiti su reti o ambienti in cui un compromesso completo da parte degli avversari sarebbe inopportuno. "

Il documento di Ormandy contiene una sezione che descrive le migliori pratiche e include le raccomandazioni dei ricercatori per i clienti Sophos, come l'implementazione di piani di emergenza che consentano loro di disabilitare le installazioni di Sophos con un breve preavviso.

"Sophos semplicemente non può reagire abbastanza velocemente da prevenire attacchi, anche se presentati con un exploit funzionante", ha detto. "Se un utente malintenzionato sceglie di utilizzare Sophos Antivirus come canale nella propria rete, Sophos semplicemente non sarà in grado di impedire la loro intrusione continuata per un po 'di tempo e sarà necessario implementare piani di emergenza per gestire questo scenario se si sceglie di continuare a distribuire Sophos."