Tavis Ormandy har fundet og rapporteret flere sårbarheder i Symantecs sikkerhedsprodukter, fare både private brugere og virksomheder. Historien slutter ikke med hans afsløring af det skræmmende CVE-2016-2208, findes i den centrale Symantec Antivirus Engine, der anvendes i de fleste Symantec og Norton AV-produkter. Da det viser sig,, de fleste Symantec-produkter indeholder en række sårbarheder, der kan forårsage selvreplikerende angreb. De nyligt opdagede fejl vurderes som kritiske, nogle af dem på et ormeligt fjernudførelsesniveau for kode.
Hvad handler Symantecs sårbarheder om?
Disse sårbarheder er så slemme, som de kan blive. De kræver ingen brugerinteraktion, de påvirker standardkonfigurationen, og softwaren kører på de højest mulige privilegieniveauer. I visse tilfælde på Windows, sårbar kode er endda indlæst i kernen, resulterer i korruption af fjernkernens hukommelse.
Tingene er ret alvorlige, fordi Symantec, anvender den samme kernemotor på tværs af alle deres produkter, Norton inkluderet. Dette er en liste over nogle af de berørte produkter:
- Norton Security, Norton 360, og andre ældre Norton-produkter (Alle platforme)
- Symantec Endpoint Protection (Alle versioner, Alle platforme)
- Symantec e-mail-sikkerhed (Alle platforme)
- Symantec beskyttelsesmotor (Alle platforme)
- Symantec-beskyttelse til SharePoint-servere
Ormandy påpeger, at da nogle af produkterne ikke kan opdateres automatisk, bør administratorer træffe øjeblikkelige handlinger for at beskytte deres netværk. Hvis du er netværksadministrator, have et kig på Symantecs råd for kunder.
Symantecs udpakkere tillader angribere at overtage et sårbart system
Fejlene er placeret i produktets kernemotor, som bruges til at vende de komprimeringsværktøjer, der anvendes af malware-kodere, til at manipulere ondsindede nyttelaster. Hvordan fungerer udpakkerne? Udpakker parser kode, der er inkorporeret i filer, før de kan downloades eller udføres. Som forklaret af Arstechnica:
Fordi Symantec kører udpakkerne direkte i operativsystemets kerne, fejl kan tillade angribere at få fuldstændig kontrol over den sårbare maskine. Ormandy sagde, at et bedre design ville være for udpakkere at køre i en sikkerhedsboks “sandkasse,” som isolerer upålidelig kode fra følsomme dele af et operativsystem.
Symantecs seneste rådgivning er tilgængelig, men det rejser nogle paradokser. Antivirussoftware anses generelt for at være et must, især til Windows. Men, installationen af sådanne kan faktisk åbne systemet for angreb og udnyttelser, der ikke ville være tilgængelige under andre omstændigheder. Derfor er det godt, at forskere som Ormandy afleverer farlige fejl til softwareleverandører, så tingene kan lappes, før det er for sent. Udover Symantec, andre berygtede produkter er blevet anset for udnyttelse - Comodo, Eset, Kaspersky, McAfee, TrendMicro, FireEye.
Netværksadministratorer bør være opmærksomme på, at nogle af de tilgængelige opdateringer i Symantecs advisory vil blive installeret automatisk, mens andre skal installeres manuelt. Symantecs kunder bør have et godt kig på rådgivningen og dobbelttjekke, om de er modtagelige.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: