Antywirusy Symanteca/Nortona z koszmarną luką. Exploit może wszystko

Narażone na atak były m.in. Symantec Endpoint Antivirus, NortonAntivirus, Symantec Scan Engine oraz Symantec Email Security. LukęCVE-2016-2208 wykorzystać było bardzo łatwo. Co bowiem robi silnikantywirusowy? Ano przede wszystkim automatycznie skanuje pliki,wszystkie pliki w systemie. Wystarczyło więc ofierze wysłaćuzłośliwiony plik, np. w załączniku poczty, i poczekać, ażantywirus sam go sobie otworzy – i posmakujebłędu przepełnienia bufora.

Critical Symantec fix being released later today via LiveUpdate. The other critical RCE vulns cant be fixed via LU, will require a patch.

— Tavis Ormandy (@taviso) May 16, 2016Atak ten działa na wszystkich platformach, Windowsie, Linuksie,OS-ie X i rozmaitych UNIX-ach, ale najgorsze skutki są na Windowsie,gdzie z jakiegoś tajemniczego powodu silnik skanując ładowany jestw obszar systemowego jądra. Atak prowadzi więc do uszkodzeniapamięci w Ring0, dając napastnikowi możliwość bezpośredniegowpływania na sprzęt, w tym procesor czy urządzenia I/O. Ormandyprzygotował przykładowy exploit. Wystarczy kliknąć link do pliku,by natychmiast wywołać niebieski ekran śmierci.

Just happened to have an up to date Symantec box lying around and got to play with @taviso 's bug. #facepalm pic.twitter.com/Cf2u8NqtCI

— Rob Fuller (@mubix) May 17, 2016Symantec oczywiście wydał już łatkę – o odkryciu google'owyhaker poinformował producenta oprogramowania zabezpieczającego trzymiesiące wcześniej. Łatka nie zmienia jednak podstawowej kwestii,a mianowicie umieszczenia silnika antywirusowego w jądrze systemu.Patrick Gray, autor poświęconego bezpieczeństwu podcastu RiskyBusiness, skomentował to następująco: sprawdzać złośliwy kodw kernelu? To tak, jakby oddział saperów zaniósł podejrzanyładunek do przedszkola, by go tam otworzyć.

W sumie zresztą czemu nie? Najwyraźniejwedług Symanteka jądro systemu wydaje się świetnym miejscem naprzetwarzanie skomplikowanych, niezaufanych danych.