Kritik güvenlik açıklarını bulur. Araştırmacı, Sophos antivirüs ürünündeki kritik güvenlik açıklarını bulur

Güvenlik araştırmacısı Tavis Ormandy, İngiltere merkezli güvenlik firması Sophos tarafından geliştirilen antivirüs ürünündeki kritik güvenlik açıklarını keşfetti ve kuruluşlara şunları söyledi: Ürün geliştirmeyi, kalite güvencesini ve güvenlik yanıt uygulamalarını geliştirmedikçe ürünü kritik sistemlerde kullanmaktan kaçının.

Google'da bir bilgi güvenliği mühendisi olarak çalışan Ormandy, bir araştırma makalesinde bulunan güvenlik açıkları ile ilgili ayrıntıları açıkladı. Sophail: Sophos Anti'ye karşı uygulanan saldırılar Virüs ”, pazartesi günü yayınlandı. Ormandy, araştırmanın boş zamanlarında yapıldığını ve kağıda ifade edilen görüşlerin kendisinin değil, işvereninki olduğunu belirtmiştir.

Kağıt, Visual Basic 6'yı ayrıştırmadan sorumlu olan Sophos antivirüs kodundaki çeşitli güvenlik açıkları hakkında ayrıntılar içermektedir., PDF, CAB ve RAR dosyaları. Bu kusurlardan bazıları uzaktan saldırıya uğrayabilir ve sistemde rasgele kod çalıştırılmasına neden olabilir.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Ormandy, bir kavram kanıtı istisnası da içeriyordu. iddia ettiği PDF ayrıştırma güvenlik açığı için, kullanıcı etkileşimi gerektirmez, kimlik doğrulaması yoktur ve kendi kendine yayılan solucana kolaylıkla dönüşebilir.

Araştırmacı Sophos antivirüsünün Mac sürümü için istismar oluşturdu, ancak güvenlik açığının etkilendiğini de belirtti. Ürünün Windows ve Linux sürümleri ve istismar bu platformlara kolayca dönüştürülebilir.

PDF'de ayrıştırma güvenlik açığı, Outlook veya Mail.app'de bir e-posta gönderilerek kullanılabilir. Sophos antivirüs giriş ve çıkış (I / O) işlemlerini otomatik olarak durdurduğundan, e-postayı açmak veya okumak bile gerekli değildir.

“Küresel bir ağ solucanı için en gerçekçi saldırı senaryosu e-posta yoluyla kendini yaymaktır” dedi Ormandy. “Güvenlik açığı otomatik olarak sömürüleceğinden, hiçbir kullanıcının e-posta ile etkileşime girmesi gerekmemektedir.” Ancak, diğer saldırı yöntemleri de mümkündür; örneğin, herhangi bir saldırgan tarafından sağlanan herhangi bir dosya açılarak; Araştırmacı, bir URL'yi (korumalı bir tarayıcıda bile) veya MIME cid: URL'lerini webmail istemcisinde açılan bir e-postaya ekleyerek ziyaret ettiğini söyledi. “Saldırganın G / Ç'ye neden olmak için kullanabileceği herhangi bir yöntem bu açıktan yararlanmak için yeterlidir.”

Ormandy ayrıca, Sophos antivirüsüyle birlikte gelen "Arabellek Taşması Koruma Sistemi" (BOPS) adlı bileşenin ASLR'yi devre dışı bıraktığını da saptadı. adres alanı düzeni rastgeleleştirme), Vista ve daha sonra da dahil olmak üzere varsayılan olarak destekleyen tüm Windows sürümlerinde azaltma özelliğinden yararlanın.

“ASLR'yi bu şekilde devre dışı bırakmak, özellikle müşterilere naif bir alternatif satmak için, özellikle de Microsoft tarafından sağlanandan daha işlevsel olarak daha kötü ”Ormandy, dedi.

Sophos antivirüs tarafından kurulan Internet Explorer için bir web sitesi kara listeye alma bileşeni, tarayıcının Korumalı Mod özelliği tarafından sunulan korumayı iptal etti. Ayrıca, kara listeye alma bileşeni tarafından uyarıları görüntülemek için kullanılan şablon, tarayıcının Aynı Orijinal Politikası'nı geçersiz kılan evrensel bir siteler arası komut dosyası güvenlik açığı sunar.

Aynı Kaynak Politikası ", İnternet'i güvenli kılan temel güvenlik mekanizmalarından biridir. kullanın, ”Ormandy dedi. “Aynı Kökeni Politikası yenildiğinde, kötü amaçlı bir web sitesi Posta, İntranet Sistemleri, Kayıt Şirketi, Bankalar ve Bordro sistemleri ile vb. Etkileşimde bulunabilir.”

Ormandy'nin makaledeki yorumları bu zayıflıkların çoğunun yakalanmış olması gerektiğini öne sürüyor. Ürün geliştirme ve kalite güvence süreçleri sırasında.

Araştırmacı bulgularını önceden Sophos ile paylaştı ve şirket gazetede açıklanan güvenlik açıkları için güvenlik düzeltmeleri yayınladı. Düzeltmelerden bazıları 22 Ekim'de yürürken, diğerleri 5 Kasım'da piyasaya sürüldü, şirket Pazartesi günkü bir blogda yayınlandı.

Ormandy tarafından keşfedilmeye çalışılan ve güvenlik testi yoluyla keşfedilebilecek bazı sorunlar var. metodu-Sophos ile paylaşıldı, ancak kamuya açıklanmadı. Bu meseleler incelendi ve düzeltmeler için 28 Kasım'da yürürlüğe girecek, dedi.

“Bir güvenlik şirketi olarak, müşterileri güvende tutmak, Sophos'un birincil sorumluluğu” dedi. “Sonuç olarak, Sophos uzmanları tüm güvenlik açığı raporlarını araştırıyor ve mümkün olan en dar zaman diliminde en iyi eylem tarzını uyguluyorlar.”

“Sophos'un, haftalar içinde ve müşterileri aksatmadan düzeltme paketini sunabilmesi iyi bir şey. Sophos'da kıdemli teknoloji danışmanı Graham Cluley, e-posta yoluyla Salı günü yaptığı açıklamada 'olağan operasyonlar' dedi. “Tavis Ormandy'nin bu güvenlik açıklarını bulduğuna minnettarız, çünkü bu, Sophos'un ürünlerini daha iyi hale getirdi.”

Ancak, Ormandy, rapor ettiği kritik zafiyetleri düzeltmek için Sophos'u almasından memnun değildi. Sorunlar şirkete 10 Eylül'de bildirildi.

“Bu rapora erken erişime cevaben, Sophos, tartışılan sorunları çözmek için bazı kaynaklar tahsis etti; Bir kooperatif, müttefik olmayan güvenlik araştırmacısı, ”dedi Ormandy. “Sofistike bir devlet destekli veya yüksek motivasyonlu bir saldırgan, Sophos'un kullanıcı tabanını rahatlatabilirdi.”

“Sophos, ürünlerinin sağlık hizmetleri, hükümet, finans ve hatta ordu boyunca dağıtıldığını iddia ediyor” dedi. “Motive olmuş bir saldırganın kaosunun bu sistemlere neden olması gerçekçi bir küresel tehdittir. Bu nedenle, Sophos ürünleri sadece düşük değerli kritik olmayan sistemler için düşünülmeli ve hiçbir zaman rakipler tarafından tam bir uzlaşmanın uygunsuz olacağı ağlarda veya ortamlarda kullanılmamalıdır. ”

Ormandy'nin makalesi en iyi uygulamaları açıklayan bir bölüm içermektedir. Sophos müşterileri için, araştırmacıların Sophos antivirüs kurulumlarını kısa bir süre içinde devre dışı bırakmalarını sağlayacak acil durum planlarını uygulamak gibi tavsiyelerini içermektedir.

“Sophos, bir çalışma istismarından sonra bile saldırıları önlemek için yeterince hızlı tepki gösteremez” dedi.. “Bir saldırgan Sophos Antivirus ürününü kendi şebekenizde bir kanal olarak kullanmayı seçerse, Sophos bir süredir devam eden saldırılarını engelleyemez ve Sophos'u kullanmaya devam etmeyi seçerseniz bu senaryoyu ele almak için acil durum planları uygulamanız gerekir.”