Pesquisador encontra vulnerabilidades críticas no produto antivírus da Sophos

O pesquisador de segurança Tavis Ormandy descobriu vulnerabilidades críticas no produto antivírus desenvolvido pela empresa de segurança Sophos e aconselhou as organizações a evite usar o produto em sistemas críticos, a menos que o fornecedor melhore seu desenvolvimento de produto, garantia de qualidade e práticas de resposta de segurança.

Ormandy, que trabalha como engenheiro de segurança da informação no Google, divulgou detalhes sobre as vulnerabilidades encontradas em um trabalho de pesquisa intitulado “ Sophail: ataques aplicados contra Sophos Anti vírus ”que foi publicado na segunda-feira. Ormandy observou que a pesquisa foi realizada em seu tempo livre e que as opiniões expressas no artigo são dele e não do empregador.

O artigo contém detalhes sobre várias vulnerabilidades no código antivírus Sophos, responsável pela análise do Visual Basic 6., Arquivos PDF, CAB e RAR. Algumas dessas falhas podem ser atacadas remotamente e podem resultar na execução de código arbitrário no sistema.

[Leitura adicional: Como remover malware do seu PC com Windows]

Ormandy até incluiu uma exploração de prova de conceito para a vulnerabilidade de análise de PDF que ele afirma não requer interação do usuário, nenhuma autenticação e pode ser facilmente transformada em um worm de auto-propagação.

O pesquisador criou o exploit para a versão Mac do antivírus Sophos, mas observou que a vulnerabilidade também afeta As versões Windows e Linux do produto e da exploração podem ser facilmente traduzidas para essas plataformas.

A vulnerabilidade de análise de PDF pode ser explorada simplesmente ao receber um email no Outlook ou no Mail.app, disse Ormandy no documento. Como o antivírus Sophos intercepta automaticamente operações de entrada e saída (E / S), abrir ou ler o e-mail nem é necessário.

“O cenário de ataque mais realista para um worm de rede global é a autopropagação via e-mail”, disse Ormandy. “Nenhum usuário é obrigado a interagir com o e-mail, pois a vulnerabilidade será automaticamente explorada.”

No entanto, outros métodos de ataque também são possíveis - por exemplo, abrindo qualquer arquivo de qualquer tipo fornecido por um invasor; visitando um URL (mesmo em um navegador em sandbox), ou incorporando imagens usando MIME cid: URLs em um email que é aberto em um cliente de webmail, disse o pesquisador. “Qualquer método que um atacante pode usar para causar E / S é suficiente para explorar esta vulnerabilidade.”

Ormandy também descobriu que um componente chamado “Buffer Overflow Protection System” (BOPS) incluído no antivírus Sophos, desativa o ASLR (randomização de layout de espaço de endereço) recurso de mitigação de exploração em todas as versões do Windows que o suportam por padrão, incluindo o Vista e versões posteriores. “É simplesmente indesculpável desativar o ASLR em todo o sistema como este, especialmente para vender uma alternativa ingênua aos clientes. funcionalmente mais pobre do que a fornecida pela Microsoft ”, disse Ormandy.

Um componente de lista negra de sites do Internet Explorer instalado pelo antivírus Sophos cancela a proteção oferecida pelo recurso Modo Protegido do navegador, disse o pesquisador. Além disso, o modelo usado para exibir avisos pelo componente de lista negra apresenta uma vulnerabilidade de script entre sites que vence a Política de mesma origem do navegador.

A Política de mesma origem é “um dos mecanismos fundamentais de segurança que torna a Internet segura”. uso ", disse Ormandy. "Com a mesma política de origem derrotada, um site mal-intencionado pode interagir com seus sistemas de correio, sistemas de intranet, registradores, bancos e folha de pagamento, etc."

Os comentários de Ormandy ao longo do documento sugerem que muitas dessas vulnerabilidades deveriam ter sido detectadas durante os processos de desenvolvimento de produto e garantia de qualidade.

O pesquisador compartilhou suas descobertas com a Sophos antecipadamente e a empresa lançou correções de segurança para as vulnerabilidades divulgadas no documento. Algumas das correções foram lançadas em 22 de outubro, enquanto as outras foram lançadas em 5 de novembro, disse a empresa na postagem de um blog.

Ainda há alguns problemas exploráveis ​​descobertos por Ormandy por meio de fuzzing - um teste de segurança método - que foram compartilhados com a Sophos, mas não foram divulgados publicamente. Essas questões estão sendo examinadas e as correções para elas começarão a ser lançadas em 28 de novembro, disse a empresa.

"Como uma empresa de segurança, manter os clientes seguros é a principal responsabilidade da Sophos", disse a Sophos. “Como resultado, os especialistas da Sophos investigam todos os relatórios de vulnerabilidade e implementam o melhor curso de ação no menor período de tempo possível.”

“É bom que a Sophos tenha conseguido entregar o conjunto de correções dentro de semanas e sem atrapalhar os clientes "operações usuais", Graham Cluley, consultor sênior de tecnologia da Sophos, disse terça-feira via e-mail. “Somos gratos que Tavis Ormandy encontrou as vulnerabilidades, pois isso ajudou a melhorar os produtos da Sophos.”

No entanto, Ormandy não estava satisfeito com o tempo que levou a Sophos para corrigir as vulnerabilidades críticas que relatou. As questões foram relatadas à empresa em 10 de setembro, disse ele.

“Em resposta ao acesso antecipado a este relatório, a Sophos alocou alguns recursos para resolver os problemas discutidos, porém eles estavam claramente mal equipados para lidar com a produção de um investigador de segurança cooperativo e não adversário ”, disse Ormandy. “Um atacante sofisticado, patrocinado pelo Estado ou altamente motivado, poderia devastar toda a base de usuários da Sophos com facilidade.”

“A Sophos afirma que seus produtos são implantados nos setores de saúde, governo, finanças e até militares”, disse o pesquisador. “O caos que um invasor motivado pode causar a esses sistemas é uma ameaça global realista. Por essa razão, os produtos Sophos devem ser considerados apenas para sistemas não críticos de baixo valor e nunca implantados em redes ou ambientes em que um comprometimento total dos adversários seria inconveniente. ”

O artigo de Ormandy contém uma seção que descreve as melhores práticas e inclui as recomendações do pesquisador para os clientes Sophos, como implementar planos de contingência que permitiriam a desativação de instalações antivírus da Sophos em pouco tempo.

“A Sophos simplesmente não consegue reagir rápido o suficiente para evitar ataques, mesmo quando é apresentada uma exploração funcional”, disse ele. “Se um invasor optar por usar o Sophos Antivirus como canal em sua rede, a Sophos simplesmente não conseguirá evitar a invasão contínua por algum tempo e você deverá implementar planos de contingência para lidar com esse cenário se optar por continuar implementando o Sophos.”