Тевис Орманди, исследователь Google Project Zero, сообщает, что в 25 продуктах компании Symantec обнаружен ряд уязвимостей, не все из которых можно исправить при помощи автоматических патчей.

Эксперт пишет, что обнаруженные проблемы можно отнести к разряду «хуже некуда». Эксплуатация некоторых багов не требует никакого взаимодействия с пользователем, проявляется в конфигурации по умолчанию, а в ряде случаев вредоносный код можно помесить прямо в ядро Windows, так как продукты Symantec оперируют на самом высоком уровне привилегий.

Баги были найдены во всех антивирусных продуктах серий Symantec и Norton: Norton Antivirus, Symantec Endpoint Protection, Symantec Email Security, Symantec Protection Engine, Symantec Protection for SharePoint Server и так далее. Проблемы касаются не только Windows, но и Linux, Mac и других UNIX-платформ.

Орманди пишет, что основной ошибкой разработчиков стало решение работать непосредственно на уровне ядра ОС, так как ничем хорошим это обычно не заканчивается. Уязвимости в таком компоненте — это настоящий подарок для хакеров, которые без труда смогут взять уязвимую систему под полный контроль.

Самой опасной брешью Орманди назвал CVE-2016-2208, связанную с работой распаковщика ASPack. Исследуя проблему, эксперт выявил несколько уязвимостей, которые являются производными от основной. Есть среди них связанные с переполнением буфера, а также баги связанные с нарушение целостности информации в памяти. Так как распаковщик работает непосредственно в пространстве ядра (или, в случае Linux, как привилегированный процесс), последствия могут быть печальными. Орманди пишет, что было бы лучше, если бы подобные операции осуществлялись в некой песочнице, которая могла бы изолировать недоверенный код от самых чувствительных участков ОС.

«Так как Symantec использует драйвер фильтрации для перехвата всех системных I/O, просто отправив жертве по почте эксплоит или ссылку на него, атакующий вызовет срабатывание бага. Жертве даже не нужно открывать этот файл или как-то с ним взаимодействовать. Потому что взаимодействие для срабатывания эксплоита не требуется, это червеобразная уязвимость, которая грозит пользователям Norton и Symantec разрушительными последствиями.

Атакующие могут с легкостью скомпрометировать целый парк корпоративных машин, используя такую брешь. Системным администраторам стоит помнить о подобных сценариях, когда он принимают решение установить антивирус. С точки зрения расширения пространства для атак, это решение влечет за собой серьезные побочные эффекты», — пишет Орманди.

Все вышеописанное только усугубляется тем, что разработчики Symantec используют в своих продуктах опенсорсные библиотеки (к примеру, libmspack и unrarsrc), которые   забывают обновлять на протяжении семи лет. За прошедшие годы в данных библиотеках, по словам Орманди, были обнаружены десятки уязвимостей, для некоторых из которых существуют готовые эксплоиты. Злоумышленникам даже не нужно будет особенно утруждаться.

Компания Symantec уже поблагодарила Орманди за работу, представила бюллетень безопасности и исправления для найденных уязвимостей. Однако некоторые решения компании не получится просто обновить автоматически, поэтому системным администраторам придется самостоятельно поработать с настройками.

Фото: SC Magazine, Australia 



Оставить мнение