Tavis Ormandy heeft meerdere kwetsbaarheden gevonden en gerapporteerd in Symantec beveiligingsproducten, in gevaar brengen van zowel thuisgebruikers als ondernemingen. Het verhaal eindigt niet met zijn onthulling van het angstaanjagende CVE-2016-2208, gevonden in de kern van Symantec Antivirus Engine die wordt toegepast in de meeste Symantec- en Norton AV-producten. Zoals het blijkt, de meeste Symantec-producten bevatten een reeks kwetsbaarheden die zichzelf herhalende aanvallen kunnen veroorzaken. De recent ontdekte gebreken worden als kritiek beoordeeld, sommige op een wormbaar uitvoeringsniveau van externe code.
Wat zijn de kwetsbaarheden van Symantec??
Deze kwetsbaarheden zijn zo erg als maar kan. Ze vereisen geen gebruikersinteractie, ze beïnvloeden de standaardconfiguratie, en de software draait op de hoogst mogelijke rechten. In bepaalde gevallen op Windows, kwetsbare code wordt zelfs in de kernel geladen, wat resulteert in corruptie van het kernelgeheugen op afstand.
Dingen zijn heel serieus, omdat Symantec, gebruikt dezelfde kernmotor in al hun producten, Norton inbegrepen. Dit is een lijst van enkele van de getroffen producten:
- Norton Security, Norton 360, en andere verouderde Norton-producten (Alle platforms)
- Symantec Endpoint Protection (Alle versies, Alle platforms)
- Symantec Email Security (Alle platforms)
- Symantec Protection Engine (Alle platforms)
- Symantec Protection voor SharePoint-servers
Ormandy wijst erop dat, aangezien sommige producten niet automatisch kunnen worden bijgewerkt, beheerders onmiddellijk actie moeten ondernemen om hun netwerken af te schermen. Als u een netwerkbeheerder bent, kijk even naar Adviezen van Symantec voor klanten.
Symantec's Unpackers laten aanvallers een kwetsbaar systeem overnemen
De bugs bevinden zich in de kernengine van het product, die wordt gebruikt om de compressietools om te keren die door malware-codeerders worden gebruikt om kwaadaardige payloads te verbergen. Hoe werken de uitpakkers?? Unpackers ontleden code die in bestanden is opgenomen voordat ze kunnen worden gedownload of uitgevoerd. Zoals uitgelegd door Arstechnica:
Omdat Symantec de uitpakprogramma's rechtstreeks in de kernel van het besturingssysteem uitvoert, fouten kunnen aanvallers in staat stellen volledige controle te krijgen over de kwetsbare machine. Ormandy zei dat het een beter ontwerp zou zijn om uitpakkers in een beveiliging te laten werken “zandbak,” die niet-vertrouwde code isoleert van gevoelige delen van een besturingssysteem.
Het nieuwste advies van Symantec is beschikbaar, maar het roept enkele paradoxen op. Antivirussoftware wordt over het algemeen als een must beschouwd, vooral voor Windows. Echter, de installatie hiervan kan het systeem daadwerkelijk openstellen voor aanvallen en exploits die in andere omstandigheden niet beschikbaar zouden zijn. Daarom is het goed dat onderzoekers zoals Ormandy gevaarlijke fouten inleveren bij softwareleveranciers, zodat dingen kunnen worden gepatcht voordat het te laat is. Naast Symantec, andere beruchte producten worden beschouwd als exploits - Comodo, Eset, Kaspersky, McAfee, TrendMicro, FireEye.
Netwerkbeheerders moeten er rekening mee houden dat sommige van de updates die beschikbaar zijn in het advies van Symantec automatisch worden geïnstalleerd, terwijl anderen handmatige installatie nodig hebben. Klanten van Symantec moeten het advies goed bekijken en controleren of ze vatbaar zijn.