r   e   k   l   a   m   a
r   e   k   l   a   m   a

Antywirusy Symanteca/Nortona z koszmarną luką. Exploit może wszystko

Strona główna AktualnościBEZPIECZEŃSTWO

Użytkownicy większości produktów Symanteca muszą dopilnować ich aktualizacji – jak bowiem się okazuje, antywirusowy silnik tej firmy przez długi czas zawierał rażącą lukę, która pozwalała na zdalne zaatakowanie chronionego komputera. Dzięki staraniom google'owego eksperta Travisa Ormandy'ego lukę już załatano, ale powiedzmy sobie szczerze, czy może być dla twórców malware bardziej łakomy kąsek, niż silnik antywirusowy wpięty bezpośrednio w jądro systemu, dysponujący wszelkimi uprawnieniami?

Narażone na atak były m.in. Symantec Endpoint Antivirus, Norton Antivirus, Symantec Scan Engine oraz Symantec Email Security. Lukę CVE-2016-2208 wykorzystać było bardzo łatwo. Co bowiem robi silnik antywirusowy? Ano przede wszystkim automatycznie skanuje pliki, wszystkie pliki w systemie. Wystarczyło więc ofierze wysłać uzłośliwiony plik, np. w załączniku poczty, i poczekać, aż antywirus sam go sobie otworzy – i posmakuje błędu przepełnienia bufora.

Atak ten działa na wszystkich platformach, Windowsie, Linuksie, OS-ie X i rozmaitych UNIX-ach, ale najgorsze skutki są na Windowsie, gdzie z jakiegoś tajemniczego powodu silnik skanując ładowany jest w obszar systemowego jądra. Atak prowadzi więc do uszkodzenia pamięci w Ring0, dając napastnikowi możliwość bezpośredniego wpływania na sprzęt, w tym procesor czy urządzenia I/O. Ormandy przygotował przykładowy exploit. Wystarczy kliknąć link do pliku, by natychmiast wywołać niebieski ekran śmierci.

Symantec oczywiście wydał już łatkę – o odkryciu google'owy haker poinformował producenta oprogramowania zabezpieczającego trzy miesiące wcześniej. Łatka nie zmienia jednak podstawowej kwestii, a mianowicie umieszczenia silnika antywirusowego w jądrze systemu. Patrick Gray, autor poświęconego bezpieczeństwu podcastu Risky Business, skomentował to następująco: sprawdzać złośliwy kod w kernelu? To tak, jakby oddział saperów zaniósł podejrzany ładunek do przedszkola, by go tam otworzyć.

W sumie zresztą czemu nie? Najwyraźniej według Symanteka jądro systemu wydaje się świetnym miejscem na przetwarzanie skomplikowanych, niezaufanych danych.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.