Výzkumník našel kritické chyby v antiviru od Sophosu

Ormandy, který pracuje jako bezpečnostní technik v Googlu, uveřejnil detaily o zranitelných místech ve své zprávě pojmenované: „Sophail: Aplikované útoky proti Anitiviru Sophos,“ která vyšla v pondělí. Ormandy také uvedl, že zprávu i průzkum realizoval ve svém volném čase.

Zpráva obsahuje detaily o několika slabých místech, která jsou zodpovědná za rozbor souborů Visual Basic 6, PDF, CAB a RAR. Některé tyto vady mohou být zneužity na dálku a mohou v systému spustit libovolný kód. Exploit, který výzkumník vyvinul, je zaměřený na verzi antiviru pro Mac, ale je použitelný i na verze pro Linux a Windows.

Podle zprávy Ormandyho stačí jednoduše otevřít e-mail v Outlooku nebo Mail.app. Protože antivirus zachytává operace vstupu a výstupu (I/O) automaticky, není dokonce ani potřeba e-mail otevřít. „Nejrealističtější scénář útoku na globální síť je sebepropagace skrze e-mail,“ konstatuje Ormandy. „Není ani potřeba žádná interakce s e-mailem ze strany uživatelů, protože zranitelné místo bude zneužito okamžitě.“

Ormandy také našel komponent nazvaný „Buffer Overflow Protection Systém“ (BOPS) který je dodávaný společně s antivirem Sophos a který vypíná ASLR (randomizace rozložení adresního prostoru). „Vypnutí ASLR pro celý systém je jednoduše neomluvitelné,“ prohlásil Ormandy.

Ormandyho komentáře ve zprávě naznačují, že mnoho těchto chyb mělo být zachyceno během vývoje produktu a během testování kvality. Výzkumník své objevy sdílel se společností s náskokem a tak již stihla vydat opravy pro některé chyby zveřejněné ve zprávě. V pondělí společnost na svém blogu oznámila, že některé z oprav byly nasazeny 22. října a ostatní 5. listopadu.

Některé potenciálně zneužitelné problémy, které Ormandy objevil, však stále zůstávají. Jejich oprava by měla být podle společnosti vydaná 28. listopadu.„Udržovat zákazníky v bezpečí je pro nás, jako bezpečnostní společnost, primární zodpovědností,“ informovali zástupci společnosti.

„Je dobré, že Sophos byl schopný nabídnout opravy během týdne a bez narušení práce zákazníků,“ napsal Graham Cluley, technologický konzultant v Sophosu. „Jsme vděční, že Tavis Ormandy našel slabá místa a pomohl naše produkty vylepšit.“

Ormandy však s časem, kterým Sophosu opravy zabraly, spokojen nebyl. Prozradil, že všechny zjištěné problémy nahlásil 10. září. „Sophos tvrdí, že jsou jejich produkty nasazeny ve zdravotnictví, ve vládě, finančnictví a dokonce i v armádě,“ napsal výzkumník. „Chaos, který by mohl motivovaný útočník způsobit je reálnou hrozbou pro celý svět. Z tohoto důvodu by měly být produkty od Sophosu používány spíše jen u systémů s nízkou hodnotou a na nekritických místech.“

Zpráva od Ormandyho obsahuje také doporučení výzkumníka pro zákazníky Sophosu. Například zařazení pohotovostních plánů, které umožní rychlé vyřazení programu z provozu. „Sophos jednoduše nezvládne reagovat dostatečně rychle, aby stihl zabránit útokům, ani když jsou jim chyby představeny ve funkčním exploitu,“ tvrdí. „Pokud se útočník rozhodne použít Sophos Antivirus jako svůj vstup do vaší sítě, Sophos tomu jednoduše nebude schopen zabránit. Takže pokud budete Sophos používat i nadále, budete si muset pro zvládnutí takové situace připravit pohotovostní plány.“