Car-tech

Tutkija löytää kriittiset haavoittuvuudet Sophos-virustorjuntaohjelmassa

Eurooppa-foorumi 2019: Esko Antola -luento

Eurooppa-foorumi 2019: Esko Antola -luento
Anonim

Turvallisuustutkija Tavis Ormandy havaitsi kriittiset haavoittuvuudet UK-pohjaisen turvallisuuspalveluyrityksen Sophos: n kehittämässä virustentorjuntatuotteessa ja neuvoi organisaatioita varmistamaan, että tuote on kehittymässä kriittisissä järjestelmissä, ellei toimittaja paranna tuotteen kehittämistä, laadunvarmistusta ja tietoturvakäytäntöjä. välttyä käyttämästä tuotetta kriittisissä järjestelmissä, ellei myyjä paranna tuotekehitystä, laadunvarmistusta ja tietoturvakäytäntöjä.

Ormandy, joka toimii tietoturva-insinöörinä Googlessa, paljasti yksityiskohtia haavoittuvuuksista, jotka hän löysi tutkimuspaperi " Sophail: Sovelletut hyökkäykset Sophos Antia vastaan virus ", joka julkaistiin maanantaina. Ormandy totesi, että tutkimus tehtiin hänen vapaa-ajallaan ja että paperilla esitetyt näkemykset ovat hänen omiaan eikä työnantajansa.

Tässä artikkelissa on yksityiskohtaisia ​​tietoja Sophos-virustentorjunnan useista haavoittuvuuksista, jotka vastaavat Visual Basic 6: n jäsentämisestä, PDF, CAB ja RAR-tiedostoja.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

Ormandy sisälsi myös todisteena konseptin hyödyntämisen PDF-jäsennetylle haavoittuvuudelle, jota hän väittää, ei edellytä käyttäjän vuorovaikutusta, ei todentamista ja voi helposti muunnella haavoittuvaksi matoiksi.

Tutkija rakensi Sophos-virustentorjunnan Mac-version hyödyntämisen, mutta huomautti, että haavoittuvuus vaikuttaa myös

PDF-jäsentelyn haavoittuvuutta voidaan hyödyntää yksinkertaisesti sähköpostin saamisella Outlookissa tai Mail.appissa, Ormandy totesi paperissa. Koska Sophos-virustentorjunta keskeyttää automaattisesti syöttö- ja tulostustoiminnot, sähköpostin avaaminen tai lukeminen ei ole edes välttämätöntä.

"Maailmanlaajuisen verkon madon realistisin hyökkäysskenaario on itselähetys sähköpostitse", Ormandy sanoi. "Käyttäjiltä ei edellytetä vuorovaikutusta sähköpostin kanssa, koska haavoittuvuus on automaattisesti hyödynnetty."

Muut hyökkäystavat ovat myös mahdollisia - esimerkiksi avaamalla mikä tahansa hyökkääjän minkä tahansa tyyppinen tiedosto; vierailemalla URL-osoitteeseen (jopa hiekkalaatikkoisessa selaimessa) tai upottamalla kuvia MIME cid: n kautta: URL-osoitteet sähköpostissa, joka avataan webmail-asiakkaassa, tutkija sanoi. "Kaikki mahdolliset hyökkäyskäyttäjät voivat käyttää I / O: tä tämän haavoittuvuuden hyödyntämiseen."

Ormandy havaitsi myös, että Sophos-virustorjuntaan liitetty "Buffer Overflow Protection System" (BOPS) -komponentti estää ASLR: n ( toiminnallisestikin heikompi kuin Microsoftin tarjoama ", Ormandy sanoi.

Sophos-virustentorjuntaohjelma asentaa Internet Explorerin verkkosivustoa mustalle listalle, joka poistaa selaimen Suojattu tila -ominaisuuden tarjoaman suojan. Lisäksi mustavalikoiman komponenttien varoitusten käyttämiseen käytettävä mallipohja tuo yleismaailmallisen sivustojen välisen komentosarjan haavoittuvuuden, joka rikkoo selaimen Sama Alkuperäperiaatetta.

Sama alkuperän käytäntö on "yksi tärkeimmistä turvallisuusmekanismeista, jotka tekevät internetistä turvallisen käytä ", Ormandy sanoi. "Samalla alkuperäisellä käytännöllä voitetaan haitallinen verkkosivusto, joka voi toimia vuorovaikutteisesti posti-, intranet-järjestelmien, rekisterinpitäjän, pankkien ja palkkajärjestelmien kanssa jne."

Ormandyn koko asiakirjassa esitetyt kommentit viittaavat siihen, että monet näistä haavoittuvuuksista olisi pitänyt saada kiinni tuotekehitys- ja laadunvarmistusprosessien aikana.

Tutkija jakoi havainnot Sophosilla etukäteen ja yritys julkaisi tietoturvakorjauksia paperissa ilmenneistä haavoittuvuuksista. Jotkut korjauksista siirrettiin 22. lokakuuta, kun taas muut julkaistiin 5. marraskuuta, yhtiö sanoi maanantaina blogikirjoituksesta.

Ormandy on löytänyt joitakin mahdollisia hyödyllisiä asioita, joita Ormandy löysi fuzzing-tietoturva-testauksella menetelmä, joka on jaettu Sophos-ohjelmaan, mutta niitä ei julkisteta. Nämä asiat tutkitaan ja niiden korjaukset aloitetaan 28. marraskuuta.

"Turvallisuusalan ylläpitäminen on Sophoksen ensisijainen vastuulla", Sophos totesi. "Tämän seurauksena Sophos-asiantuntijat tutkivat kaikkia haavoittuvuusraportteja ja toteuttavat parhaan toimintatavan mahdollisimman tiukasti."

"On hyvä, että Sophos on pystynyt toimittamaan korjaussarjan viikkoina ja häiritsemättä asiakkaita "tavallista toimintaa", Sophosissa toimiva senioritekniikan konsultti Graham Cluley sanoi tiistaina sähköpostilla. "Olemme kiitollisia siitä, että Tavis Ormandy löysi haavoittuvuudet, sillä tämä on auttanut tekemään Sophosin tuotteista parempia."

Ormandy ei kuitenkaan ollut tyytyväinen siihen, että Sophos joutui korjaamaan kriittiset haavoittuvuutensa, joita hän ilmoitti. Kyseiset asiat raportoitiin yritykselle 10. syyskuuta, hän sanoi.

"Tämän raportin varhaisessa vaiheessa Sophos myönsi resursseja ratkaistakseen käsitellyt asiat, mutta ne olivat selvästi huonosti kykeneviä käsittelemään yksi yhteistyössä toimiva, ei-kontradiktorinen turvallisuus tutkija ", Ormandy sanoi. "Sophos väittää, että tuotteitamme käytetään terveydenhuollon, hallinnon, rahoituksen ja jopa sotilaiden kautta", tutkija sanoi. "Kaaos, jonka motivoitunut hyökkääjä voi aiheuttaa näille järjestelmille, on realistinen maailmanlaajuinen uhka. Tästä syystä Sophos -tuotteita tulisi harkita vain vähäarvoisia, ei-kriittisiä järjestelmiä käytettäessä ja niitä ei koskaan käytetä verkkoihin tai ympäristöihin, joissa vastustajien täydellinen kompromissi olisi hankalaa. "

Ormandyn paperi sisältää osan, jossa kuvataan parhaita käytäntöjä ja sisältää Sophos-asiakkaiden suositukset Sophos-asiakkaille, kuten valmiussuunnitelmien toteuttaminen, joiden avulla he voivat poistaa Sophos-virustentorjunta-asennukset käytöstä lyhyellä varoitusajalla.

"Sophos ei yksinkertaisesti pysty reagoimaan riittävän nopeasti estääkseen hyökkäyksiä, vaikka se näyttäisi toimivan hyödyn.". "Jos hyökkääjä päättää käyttää Sophos Antivirusia verkossaan, Sophos ei yksinkertaisesti voi estää niiden jatkuvaa tunkeutumista jonkin aikaa, ja sinun on toteutettava valmiussuunnitelmia tämän skenaarion käsittelemiseksi, jos päätät jatkaa Sophos-järjestelmän käyttöönottoa."