17.05.2016 | 22:43

Adam Haertle

Krytyczna, bardzo niebezpieczna luka w antywirusie Symanteca / Nortona

Niesamowite, jak po tylu latach korzystania z antywirusów okazuje się, że produkty te mogą wprowadzać do naszych komputerów więcej zagrożeń niż usuwać. A wystarczyło, że jeden inżynier zaczął testować ich bezpieczeństwo.

Tavis Ormandy, pracownik elitarnego zespołu Google Project Zero, kilka miesięcy temu ruszył na małą cyberkrucjatę. Za cel swoich badań obrał programy antywirusowe i chyba nie było jeszcze takiego, nad którego poziomem bezpieczeństwa by nie zapłakał. Tym razem pochylił się nad silnikiem Symanteca.

Matka wszystkich dziur

Tavis po analizie kodu Symanteca, występującego w prawie wszystkich produktach tej firmy (w tym także pod marką Nortona) znalazł w nim błąd bijący wszystkie błędy. Przepełnienie bufora w module analizy plików spakowanych starszą wersją aspack nie brzmi może strasznie, ale niestety Symantec uznał za dobry pomysł zaimplementowanie odpakowywania złośliwego oprogramowania na poziomie jądra systemu a do tego jego mechanizmy analizują wszystkie pliki w locie. W praktyce oznacza to, że wystarczy wysłać użytkownikowi Symanteca odpowiedni plik by uzyskać automatycznie, bez żadnej interakcji (odbiorca nie musi odczytywać poczty) maksymalne uprawnienia w systemie (root dla Linuksa czy OS X, ring0 NT Authority\SYSTEM w Windows). Gorzej być nie może.

To nie był dobry pomysł

To nie był dobry pomysł

Poziom znaczenia błędu najlepiej może zilustrować fakt, że pierwsze zgłoszenie Tavisa do Symanteca nie dotarło. Bramka pocztowa (oczywiście produkcji Symanteca) odgadła domyślne hasło archiwum ZIP (infected) i przeskanowała jego zawartość – i padła, bo Tavis przesłał przykładowy plik na dowód tego, ze błąd faktycznie istnieje… Symantec ten błąd już naprawił (jeśli macie licencję to dostaliście poprawkę), lecz jeszcze sporo poprawek przed Wami – Tavis nie ograniczył się do znalezienia jednego błędu.

Nie tylko Symantec

Niestety fatalny poziom bezpieczeństwa kodu nie jest tylko problemem Symanteca – Tavis pokazał już podobne luki w produktach firm takich jak ESET, Kaspersky, Avast, AVG, TrendMicro, Comodo, MalwareBytes, Avira oraz McAfee. Jeśli jakiegoś antywirusa nie ma na tej liście to nie dlatego, ze oparł się urokowi Tavisa – ale dlatego, że jego misja jeszcze trwa i nie zajrzał do każdego produktu. Warto także zaznaczyć, że jego przegląd jest dość powierzchowny – nie trwa jeszcze nawet roku i choć Tavisowi talentu nie brakuje, to można sobie tylko wybrazić, ile błędów może znaleźć zespół 100 chińskich ekspertów w tym samym czasie.

Powrót

Komentarze

  • 2016.05.17 23:23 pukacu

    A Autor ma chyba Avirkę i zarzekał się, że nie słyszał o atakach poprzez antywiry. Czas zweryfikować swoje stanowisko i wywalić z kompa badziew. Jak sam Autor pisał, odsiewa tylko znane zagrożenia i jest bezradny przy tych mniej znanych.
    Ja po wpadce Comodo zamieniłem na Păndziorka i czekam na swoją kolej z duszą na ramieniu… ;v

    Odpowiedz
    • 2016.05.18 00:21 Mądrość Internetu

      Zainstaluj sobie linuxa będziesz bezpieczny !

      Pozdrawiam
      Mądrość Internetu.

      Odpowiedz
      • 2016.05.18 13:20 pukacu

        Ale tam też są antywiry xD

        Odpowiedz
  • 2016.05.18 00:13 Mariusz

    No właśnie. Jak właściwie zabezpieczyć się przed wirusami? Nie da się.
    Obraz systemu po instalacji z podstawowymi programami i aktualizacjami a potem odtwarzanie z bakupu co miesiąc? :D

    Odpowiedz
    • 2016.05.18 12:51 Adam

      Czyli co miesiąc stary system? :D

      Odpowiedz
    • 2016.05.18 12:56 czesław

      Dokładnie tak, ale można do tego wykorzystać wirtualne maszyny i migawki. Z internetu korzystać przez maszyny zdalne lub wirtualne (RDP, SSH) lub pójść w QubesOS, gdzie to wszystko masz out of the box

      Odpowiedz
      • 2016.05.19 00:22 Adam

        Ale piszecie chyba o jakichś biurach z adminami, bo żeby prywatnie sobie robić obrazy całego dysku, wirtualki, migawki i bawić się w takie odtwarzanie, to… :>

        Odpowiedz
  • 2016.05.18 02:04 Rafał

    Nie wierzę w wirusy, dawno żadnego nie widziałem. Atakowanie wirusami w e-mailach wydaje mi się bezsensowne. Przecież żeby taki program był groźny muszę zapisać go do pliku, nadać mu uprawnienia do wykonywania i uruchomić. Tylko po co? Można wprowadzić jakieś ułatwienia w strzelaniu sobie w głowę, ale wykonanie wszystkich tych działań automatycznie nie ma sensu.

    Odpowiedz
    • 2016.05.18 09:14 Kozak127

      Przeglądarka jest zazwyczaj pierwszą linią przed wirusami. Jeśli jest choć odrobinę nieaktualna, wirus może wykorzystać dziurę i wejść do systemu bez wiedzy użytkownika. Tak samo, dziurawy system – są błędy w miejscach i interfejsach o jakich filozofom się nie śniło, istnieje możliwość zawirusowania bez wiedzy usera.

      Aktualna przeglądarka, aktualny system (najlepiej Linux), trochę oleju w głowie, i zgadzam się – można się obejść bez antywirusa. W innym przypadku, nie jest to mądre.

      Odpowiedz
    • 2016.05.18 10:12 czlowiek

      Chyba nie zrozumiałeś idei błędu… Opisywany bug w nortonie wymagał TYLKO „przeskanowania” pliku antywirusem (co dzieje się automatycznie) aby ukryty w nim kod wykonał się z uprawnieniami root/admina.

      Odpowiedz
    • 2016.05.18 13:08 Adam

      „Nie wierzę w wirusy, dawno żadnego nie widziałem.”
      Obecne malware jest czasami tak dobre, że zwykłymi metodami go nie zobaczysz… Szczególnie to dotyczy ataku „targetowanego”…

      Odpowiedz
      • 2016.05.18 16:14 Uwierzytelnianie

        A po polsku – „spersonalizowanego”.

        Odpowiedz
        • 2016.05.19 00:21 Adam

          +1

          Odpowiedz
        • 2016.05.20 20:42 kaper

          A nie bardziej po polsku byłoby „celowanego”?

          Odpowiedz
    • 2016.05.18 13:25 pukacu

      „Przecież żeby taki program był groźny muszę zapisać go do pliku, nadać mu uprawnienia do wykonywania i uruchomić. ”
      Jest malware bezplikowe i je też chcesz zapisywać na dysku?

      Odpowiedz
  • 2016.05.18 08:43 Amen

    W realnym świecie głupich ludzi eliminuje tzw. prawo selekcji naturalnej. W cyberprzestrzeni podobną rolę pełnią wirusy i ich twórcy :)

    Odpowiedz
  • 2016.05.18 09:43 Adul Odpowiedz
  • 2016.05.18 11:00 mario

    „to można sobie tylko wybrazić, ile błędów może znaleźć zespół 100 chińskich ekspertów w tym samym czasie”

    100 chińskich ekspertów z NSA

    Odpowiedz
  • 2016.05.18 11:49 Alex

    > Root w linux, ring0 w Windows
    A to niby na Linuxach ( i dowolnym innym systemie ) na x86 nie ma ring0? xD

    Odpowiedz
  • 2016.05.18 13:06 Adam

    A czy mając tę wiedzę nie wystarczy po prostu wyłączyć funkcję odpakowywania plików?

    Adamie, czy mógłbyś streścić (lub zalinkować), jakie luki znaleziono w tych produktach AV innych firm?

    Odpowiedz
  • 2016.05.18 15:25 wefwef

    „Co robić, jak żyć?”..

    …aaa nie, to nie ten serwis :-)

    Odpowiedz
  • 2016.05.18 19:44 Agares

    Hmm… około tygodnia temu Tumblr pewnej znanej mi osobie powiedział „zmień sobie hasło”, bez żadnego wyjaśnienia. Przynajmniej teraz znam wyjaśnienie :)

    Odpowiedz
  • 2016.05.19 09:34 adrb

    „(root dla Linuksa czy OS X, ring0 w Windows)”

    Gdzie jak gdzie, ale tutaj takich głupot nie powinniście pisać :)

    Odpowiedz
    • 2016.05.19 11:19 Marcin

      Co jest głupota? Jest duża różnica między ring0 i root/Administrator.

      Odpowiedz
      • 2016.05.19 15:30 adrb

        Zadziwiające, poświęciłeś 30 sekund na napisanie tego komentarza zamiast wpisać w google ring0 :)

        Odpowiedz
  • 2016.05.19 12:51 Rozbawiony

    Cos sie te backdoory NSA sypia! A to pech! :)

    PS
    Sadze, ze to dopiero poczatek.

    Odpowiedz
  • 2016.05.22 11:29 Mateusz

    Kilka lat temu niebezpiecznik.pl pisał że programy antywirusowe są nic warte ponieważ można je spokojnie obejść zabezpieczenia. Muszę dodać że niestety ale wszystkie programy antywirusowe nic nie są warte i nie warto ich użyć, bo zamiast chronić tylko szkodzą. Proszę także pamiętać że wiele osób jeszcze za nie płaci. Z puntu czasu nic się nie zmieniło w tej branży. Dlatego warto się zastanowić czy wato w ogóle używać takich programów.

    Odpowiedz
    • 2016.06.10 09:44 adam

      Programy antywirusowe są warte używania. Chyba wszyscy je instalucją, oprócz Linuksiarzy. Choć wtopa Nortona koszmarna i w zasadzie za głupotę powinno się zrezygnować z ich oprogramowania, jeżeli ktoś jeszcze tego nie zrobił.

      Odpowiedz

Zostaw odpowiedź do Mateusz

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Krytyczna, bardzo niebezpieczna luka w antywirusie Symanteca / Nortona

Komentarze