Amikor a védelem nyit ajtót a hívatlan vendégeknek

Sok lehetőség kínálkozott volna különböző, rondábbnál rondább szójátékra, de ellenálltam a kísértésnek.

Ebben az írásban a Sophos vírusvédelmi megoldásainak hibáit mutatom be, a cég neve kínált volna lehetőséget ízléstelen asszociációkra.

A Google egyik biztonsági fejlesztője, Tavis Ormandy bukkant rá a Sophos antivirus több biztonsági hibájára is, amelyek gyönyörűen nyitnak réseket a szoftver által védeni kívánt rendszeren. A hibák érintenek minden platformot – Windows, Mac, Linux – és nem csak magukat az antivirus termékeket, hanem azok fejlesztőkészleteit is, az SDK-kat – ez utóbbiakkal lehet a különböző Sophos modulokat integrálni más termékekbe.

sophail

Az egyik súlyos hiba a fájlfeldolgozó modulban van; ez használatban van, amikor a védelemmel ellátott számítógépen letöltenek a webről egy állományt. Nos, egy megfelelően formázott file-lal adatok adhatók át a sérülékeny, ámde legmagasabb szinten futó folyamatnak, tetszőleges kód végrehajtására bírva. Ennek következtében a különböző Sandbox megoldásoknak annyi.
A másik probléma a Sophos által szállított buffer-overflow megoldás. A modul minden új folyamatba behúz egy speciális DLL-fájlt és feketelistára tesz egy adag ismert API-hívást, amelyeket a rosszfiúk használnak a kártevők indítására. Mivel a modult a /DYNAMICBASE nélkül fordították – ami szólt volna a fordítónak, hogy ASLR-t használ a célrendszer – ezért akkor is betöltődik, amikor ASLR-rendszeren fut. Következmény: hatástalan ASLR.
Gond van még a frissítő mechanizmussal is, valamint az LSP-vel is. Előbbi jogosultságkiterjesztést tesz lehetővé, mivel a különböző részei olyan könyvtárból töltődnek be, amelyek bárki által írhatók, utóbbi pedig alacsony integritású könyvtárból töltődik be, ráadásul XSS-sel támadható az általa beszúrt oldal.

Értem én, hogy nincs szoftver hiba nélkül. Ahogy azonban Mr. Ormandy rámutat: sok helyen alapvető implementációs hibák vannak a programban, valamint a Sophos programozói nem értik a ret2libc-et sem. Ezekből kifolyólag egyet kell értsek Ormandy-val: sürgősen le kell cserélni ezt a szoftvert másra, még akkor is, ha a hibák többségét már javította a cég. Bizony, nincs még mindegyik kijavítva – még egy indok, hogy sürgősen cserére kerüljön a termék. Biztonságban utazó cégnek csak egyetlen dobása van (egyes kivételes esetekben van kettő).

Szólj hozzá

Avatar
QR-kód
qrcode
Archívum
Kategória
+GER+ Warriors
+GER+ Clan Urban Terror Community