Тавис Орманди (Tavis Ormandy) от хакерския отдел Project Zero на Google публикува в свободен вид информация за многобройни уязвимости в антивирусните програми на Symantec, включително и уязвимости с отдалечено изпълнение на програмен код.
[You must be registered and logged in to see this image.]Много специалисти считат, че антивирусната програма с максимални привилегии в операционната система е допълнителна цел за атаки и често понижава безопасността на операционната система. Symantec демонстрира тази теза толкова явно, колкото изобщо е възможно. В някои случаи с ОС Windows се позволява вкарването на вреден код в ядрото на операционната система, а това води до неправилната работа на всичката памет.
Програмите на Symantec използват еднакво ядро и описаните от Тавис Орманди методи работят във всичкия антивирусен софтуер на компанията, включително и с бранда Norton.
Ето само някои от тях:Norton Security, Norton 360 и другите продукти Norton - важи за всички операционни системи
Symantec Endpoint Protection (всички версии, всички платформи)
Symantec Email Security (всички операционни системи)
Symantec Protection Engine (всички платформи)
Symantec Protection for SharePoint Servers
И другиКритично е положението с програмата, която разархивира компресираните изпълними файлове. При Symantec тази програма не стига, че има грешки, но и работи в ядрото на операционната система.
Така например използваната подпрограма за разархивиране на изпълними файлове ASPack допуска тривиално препълване на буфера, ако значението на SizeOfRawData е по-голямо от SizeOfImage. Когато това се случва, Symantec прехвърля допълнителни и излишни байтове чрез memcpy. По този начин с лекота може да се стартира произволен код на ниво ядро. Тази уязвимост в ОС Windows води до повреждане на паметта на ядрото, а в Linux, macOS и Unix предизвиква чисто препълване на ниво root и дава възможност за максимално повишаване на привилегиите.
[You must be registered and logged in to see this image.]Това не е всичко. Symantec използва специален драйвер за прихващането на всички системни прекъсвания и за използването на тази уязвимост е достатъчно на жертвата да се изпрати файл по електронната поща или препратка към експлойт.
Жертвата дори не трябва да отваря файла или да посещава линка - антивирусната върши това самостоятелно. Това дава възможност дори за автоматично разпространение на компютърен червей във всички системи с инсталирана антивирусна програма Symantec/Norton!
Интересно е това, че Тавис преди публикуването на информацията за уязвимостта CVE-2016-2208 изпратил работещ експлойт в отдела по безопасност на Symantec с парола, която била записана в електронното писмо. Пощенският сървър, защитен с продуктите на Symantec извлякъл паролата, използвал я за да разархивира прикачения файл и при изучаването на кода крашнал себе си.
Още веднъж да кажем, че тези уязвимости на Symantec в ОС Windows води до изпълнение на код на ниво SYSTEM, а в останалите операционни системи - с правата на root.Някои програми на Symantec не се обновяват автоматично и късметлиите системни администратори със софтуер на Symantec се препоръчва незабавно обновяване ръчно.
/kaldata.com
__________________________________________________________________________
[You must be registered and logged in to see this image.]