Krytyczna, bardzo niebezpieczna luka w antywirusie Symanteca / Nortona

dodał 17 maja 2016 o 22:43 w kategorii Błędy  z tagami:
Krytyczna, bardzo niebezpieczna luka w antywirusie Symanteca / Nortona

Niesamowite, jak po tylu latach korzystania z antywirusów okazuje się, że produkty te mogą wprowadzać do naszych komputerów więcej zagrożeń niż usuwać. A wystarczyło, że jeden inżynier zaczął testować ich bezpieczeństwo.

Tavis Ormandy, pracownik elitarnego zespołu Google Project Zero, kilka miesięcy temu ruszył na małą cyberkrucjatę. Za cel swoich badań obrał programy antywirusowe i chyba nie było jeszcze takiego, nad którego poziomem bezpieczeństwa by nie zapłakał. Tym razem pochylił się nad silnikiem Symanteca.

Matka wszystkich dziur

Tavis po analizie kodu Symanteca, występującego w prawie wszystkich produktach tej firmy (w tym także pod marką Nortona) znalazł w nim błąd bijący wszystkie błędy. Przepełnienie bufora w module analizy plików spakowanych starszą wersją aspack nie brzmi może strasznie, ale niestety Symantec uznał za dobry pomysł zaimplementowanie odpakowywania złośliwego oprogramowania na poziomie jądra systemu a do tego jego mechanizmy analizują wszystkie pliki w locie. W praktyce oznacza to, że wystarczy wysłać użytkownikowi Symanteca odpowiedni plik by uzyskać automatycznie, bez żadnej interakcji (odbiorca nie musi odczytywać poczty) maksymalne uprawnienia w systemie (root dla Linuksa czy OS X, ring0 NT Authority\SYSTEM w Windows). Gorzej być nie może.

To nie był dobry pomysł

To nie był dobry pomysł

Poziom znaczenia błędu najlepiej może zilustrować fakt, że pierwsze zgłoszenie Tavisa do Symanteca nie dotarło. Bramka pocztowa (oczywiście produkcji Symanteca) odgadła domyślne hasło archiwum ZIP (infected) i przeskanowała jego zawartość – i padła, bo Tavis przesłał przykładowy plik na dowód tego, ze błąd faktycznie istnieje… Symantec ten błąd już naprawił (jeśli macie licencję to dostaliście poprawkę), lecz jeszcze sporo poprawek przed Wami – Tavis nie ograniczył się do znalezienia jednego błędu.

Nie tylko Symantec

Niestety fatalny poziom bezpieczeństwa kodu nie jest tylko problemem Symanteca – Tavis pokazał już podobne luki w produktach firm takich jak ESET, Kaspersky, Avast, AVG, TrendMicro, Comodo, MalwareBytes, Avira oraz McAfee. Jeśli jakiegoś antywirusa nie ma na tej liście to nie dlatego, ze oparł się urokowi Tavisa – ale dlatego, że jego misja jeszcze trwa i nie zajrzał do każdego produktu. Warto także zaznaczyć, że jego przegląd jest dość powierzchowny – nie trwa jeszcze nawet roku i choć Tavisowi talentu nie brakuje, to można sobie tylko wybrazić, ile błędów może znaleźć zespół 100 chińskich ekspertów w tym samym czasie.