fbpx
-0.5 C
София

Многобройни критични уязвимости в антивирусните програми Symantec/Norton

Най-четени

Даниел Десподов
Даниел Десподовhttps://www.kaldata.com/
Новинар. Увличам се от съвременни технологии, информационна безопасност, спорт, наука и изкуствен интелект.

Тавис Орманди (Tavis Ormandy) от хакерския отдел Project Zero на Google публикува в свободен вид информация за многобройни уязвимости в антивирусните програми на Symantec, включително и уязвимости с отдалечено изпълнение на програмен код.

 

Много специалисти считат, че антивирусната програма с максимални привилегии в операционната система е допълнителна цел за атаки и често понижава безопасността на операционната система. Symantec демонстрира тази теза толкова явно, колкото изобщо е възможно. В някои случаи с ОС Windows се позволява вкарването на вреден код в ядрото на операционната система, а това води до неправилната работа на всичката памет.

Програмите на Symantec използват еднакво ядро и описаните от Тавис Орманди методи работят във всичкия антивирусен софтуер на компанията, включително и с бранда Norton.

Ето само някои от тях:

  • Norton Security, Norton 360 и другите продукти Norton – важи за всички операционни системи
  • Symantec Endpoint Protection (всички версии, всички платформи)
  • Symantec Email Security (всички операционни системи)
  • Symantec Protection Engine (всички платформи)
  • Symantec Protection for SharePoint Servers
  • И други

Критично е положението с програмата, която разархивира компресираните изпълними файлове. При Symantec тази програма не стига, че има грешки, но и работи в ядрото на операционната система.

Така например използваната подпрограма за разархивиране на изпълними файлове ASPack допуска тривиално препълване на буфера, ако значението на SizeOfRawData е по-голямо от SizeOfImage. Когато това се случва, Symantec прехвърля допълнителни и излишни байтове чрез memcpy. По този начин с лекота може да се стартира произволен код на ниво ядро. Тази уязвимост в ОС Windows води до повреждане на паметта на ядрото, а в Linux, macOS и Unix предизвиква чисто препълване на ниво root и дава възможност за максимално повишаване на привилегиите.

 

Това не е всичко. Symantec използва специален драйвер за прихващането на всички системни прекъсвания и за използването на тази уязвимост е достатъчно на жертвата да се изпрати файл по електронната поща или препратка към експлойт. Жертвата дори не трябва да отваря файла или да посещава линка – антивирусната върши това самостоятелно. Това дава възможност дори за автоматично разпространение на компютърен червей във всички системи с инсталирана антивирусна програма Symantec/Norton!

Интересно е това, че Тавис преди публикуването на информацията за уязвимостта  CVE-2016-2208 изпратил работещ експлойт в отдела по безопасност на Symantec с парола, която била записана в електронното писмо. Пощенският сървър, защитен с продуктите на Symantec извлякъл паролата, използвал я за да разархивира прикачения файл и при изучаването на кода крашнал себе си.

Още веднъж да кажем, че тези уязвимости на Symantec в ОС Windows води до изпълнение на код на ниво SYSTEM, а в останалите операционни системи – с правата на root.

Някои програми на Symantec не се обновяват автоматично и късметлиите системни администратори със софтуер на Symantec се препоръчва незабавно обновяване ръчно.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

0 Коментара
Отзиви
Всички коментари

Нови ревюта

Подобни новини