Kritická chyba v antivirech Symantec a Norton umožňuje atak hackerů

18. 5. 2016

Sdílet

 Autor: © Piumadaquila - Fotolia.com
Chyba v jádru antiviru, užívaném hned v několika produktech firmy Symantec, je velmi snadno zneužitelná. Podle bezpečnostního technika Googlu, Tavise Ormandyho, který chybu objevil, může být zranitelnost zneužitá ke spuštění nakaženého kódu na počítačích, a to i vzdáleně.

Jediné, co útočník musí udělat, je poslat e-mail s vadným souborem jako přílohu nebo přesvědčit uživatele, aby klikl na nebezpečný odkaz.

Samotné spuštění souboru již není třeba: Jádro antiviru používá ovladač k zachycení všech systémových operací a automaticky soubor „projede“ ve chvíli, kdy jakkoli pronikne do systému.

Již v pondělí firma chybu opravila v Anti-Virus Engine (AVE) aktualizaci verze 20151.1.1.4 skrze službu LiveUpdate. Bezpečnostní vadou je přetečení bufferu, které mohlo nastat během parsování spustitelných souborů s vadným záhlavím.

Přípona souboru nehraje roli, má-li záhlaví označující jej jako přenosný spustitelný soubor, zapackovaný pomocí ASPacku, komerčního kompresního softwaru.

Zdaleka nejhorší zprávou však je, že Symantec AVE takové soubory rozbaluje uvnitř kernelu, tedy přímo v jádru operačního systému, oblasti s nejvyššími pravomocemi. To znamená, že úspěšné nakažení systému může vést ke kompletní ztrátě moci nad celým systémem.

„Na Linuxu, Macu a dalších unixových platformách může tento proces způsobit vzdálené přetečení heapu (haldy) v procesech Symantecu nebo Nortonu,“ vysvětluje Ormandy v článku k tématu. „Ve Windows tento proces vede k přetečení paměti přidělené kernelu, jak je sken jádra v kernelu postupně načítán, což z toho činí vzdálenou zranitelnost ring0 memory corruption – o moc horší už to být nemůže.“

Symantec zranitelnost ohodnotil na škále CVSS na 9,1 z 10 maximálních, tedy jako extrémně nebezpečnou.

„Nejčastější ukazatel úspěšného útoku by bylo okamžité selhání systému, tedy modrá obrazovka smrti ,“ popsala společnost v článku.

bitcoin školení listopad 24

Uživatelé by se měli ujistit, že nainstalovali nejnovější možné aktualizace, dostupné pro jejich Symantec antivirové produkty.

Jde o nejnovější z dlouhé řady kritických chyb nalezených Ormandym a jinými bezpečnostními analytiky v antivirových produktech z posledních let. Většina z nich nepřestává výrobce antivirů kritizovat za jejich tendenci pokračovat s nebezpečnými skeny souborů, které v minulosti vedly ke zneužití chyb pomocí získaných pravomocí kernelu.