Tavis Ormandy encontrou e relatou múltiplas vulnerabilidades em produtos de segurança da Symantec, pôr em perigo tanto para usuários domésticos e empresas. A história não termina com a divulgação da aterrorizante CVE-2016-2208, encontrado no núcleo do Symantec Antivirus Engine aplicado na maioria dos produtos Symantec e Norton AV. Como se vê, a maioria dos produtos da Symantec contém uma série de vulnerabilidades que podem causar ataques auto-replicantes. As falhas descobertas recentemente são classificadas como críticas, alguns deles em nível de execução remota de código.
Quais são as vulnerabilidades da Symantec?
Essas vulnerabilidades são tão ruins quanto possível. Eles não exigem nenhuma interação do usuário, eles afetam a configuração padrão, e o software é executado nos mais altos níveis de privilégios possíveis. Em certos casos no Windows, código vulnerável é carregado até no kernel, resultando em corrupção de memória remota do kernel.
As coisas são bem sérias, porque a Symantec, emprega o mesmo mecanismo principal em todos os seus produtos, Norton incluído. Esta é uma lista de alguns dos produtos afetados:
- Norton Security, Norton 360, e outros produtos Norton herdados (Todas as plataformas)
- Symantec Endpoint Protection (Todas versões, Todas as plataformas)
- Symantec Email Security (Todas as plataformas)
- Symantec Protection Engine (Todas as plataformas)
- Symantec Protection for SharePoint Servers
Ormandy ressalta que, como alguns dos produtos não podem ser atualizados automaticamente, os administradores devem tomar medidas imediatas para proteger suas redes. Se você é um administrador de rede, dê uma olhada em Avisos da Symantec para clientes.
Os desempacotadores da Symantec permitem que invasores assumam um sistema vulnerável
Os bugs estão localizados no mecanismo principal do produto, que é usado para reverter as ferramentas de compressão empregadas pelos codificadores de malware para impedir cargas úteis maliciosas. Como os desempacotadores funcionam? Os desempacotadores analisam o código incorporado nos arquivos antes que eles possam ser baixados ou executados. Conforme explicado pela Arstechnica:
Como a Symantec executa os desempacotadores diretamente no kernel do sistema operacional, erros podem permitir que invasores obtenham controle completo sobre a máquina vulnerável. Ormandy disse que um design melhor seria para os desempacotadores rodarem em uma segurança “caixa de areia,” que isola código não confiável de partes sensíveis de um sistema operacional.
O mais recente comunicado da Symantec está disponível, mas levanta alguns paradoxos. O software antivírus é geralmente considerado obrigatório, especialmente para Windows. Contudo, a instalação desses pode realmente abrir o sistema para ataques e explorações que não estariam disponíveis em outras circunstâncias. É por isso que é bom que pesquisadores como Ormandy entreguem falhas perigosas a fornecedores de software para que as coisas possam ser corrigidas antes que seja tarde demais. Além da Symantec, outros produtos infames foram considerados exploração - Comodo, Eset, Kaspersky, McAfee, TrendMicro, FireEye.
Os administradores de rede devem observar que algumas das atualizações disponíveis no aviso da Symantec serão instaladas automaticamente, enquanto outros precisarão de instalação manual. Os clientes da Symantec devem consultar o comunicado e verificar se estão suscetíveis..
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: