Antywirusy Symanteca/Nortona z koszmarną luką. Exploit może wszystko

Antywirusy Symanteca/Nortona z koszmarną luką. Exploit może wszystko17.05.2016 12:40
Antywirusy Symanteca/Nortona z koszmarną luką. Exploit może wszystko

Użytkownicy większości produktów Symanteca muszą dopilnowaćich aktualizacji – jak bowiem się okazuje, antywirusowy silnik tejfirmy przez długi czas zawierał rażącą lukę, która pozwalałana zdalne zaatakowanie chronionego komputera. Dzięki staraniomgoogle'owego eksperta Travisa Ormandy'ego lukę już załatano, alepowiedzmy sobie szczerze, czy może być dla twórców malwarebardziej łakomy kąsek, niż silnik antywirusowy wpiętybezpośrednio w jądro systemu, dysponujący wszelkimi uprawnieniami?

Narażone na atak były m.in. Symantec Endpoint Antivirus, NortonAntivirus, Symantec Scan Engine oraz Symantec Email Security. LukęCVE-2016-2208 wykorzystać było bardzo łatwo. Co bowiem robi silnikantywirusowy? Ano przede wszystkim automatycznie skanuje pliki,wszystkie pliki w systemie. Wystarczyło więc ofierze wysłaćuzłośliwiony plik, np. w załączniku poczty, i poczekać, ażantywirus sam go sobie otworzy – i posmakujebłędu przepełnienia bufora.

Critical Symantec fix being released later today via LiveUpdate. The other critical RCE vulns cant be fixed via LU, will require a patch.

— Tavis Ormandy (@taviso) May 16, 2016Atak ten działa na wszystkich platformach, Windowsie, Linuksie,OS-ie X i rozmaitych UNIX-ach, ale najgorsze skutki są na Windowsie,gdzie z jakiegoś tajemniczego powodu silnik skanując ładowany jestw obszar systemowego jądra. Atak prowadzi więc do uszkodzeniapamięci w Ring0, dając napastnikowi możliwość bezpośredniegowpływania na sprzęt, w tym procesor czy urządzenia I/O. Ormandyprzygotował przykładowy exploit. Wystarczy kliknąć link do pliku,by natychmiast wywołać niebieski ekran śmierci.

Just happened to have an up to date Symantec box lying around and got to play with @taviso 's bug. #facepalm pic.twitter.com/Cf2u8NqtCI

— Rob Fuller (@mubix) May 17, 2016Symantec oczywiście wydał już łatkę – o odkryciu google'owyhaker poinformował producenta oprogramowania zabezpieczającego trzymiesiące wcześniej. Łatka nie zmienia jednak podstawowej kwestii,a mianowicie umieszczenia silnika antywirusowego w jądrze systemu.Patrick Gray, autor poświęconego bezpieczeństwu podcastu RiskyBusiness, skomentował to następująco: sprawdzać złośliwy kodw kernelu? To tak, jakby oddział saperów zaniósł podejrzanyładunek do przedszkola, by go tam otworzyć.

W sumie zresztą czemu nie? Najwyraźniejwedług Symanteka jądro systemu wydaje się świetnym miejscem naprzetwarzanie skomplikowanych, niezaufanych danych.

Programy

Aktualizacje
Aktualizacje
Nowości
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (16)