Peneliti menemukan kerentanan kritis dalam produk antivirus Sophos

Peneliti keamanan Tavis Ormandy menemukan kerentanan kritis dalam produk antivirus yang dikembangkan oleh perusahaan keamanan Sophos yang berbasis di Inggris dan organisasi yang disarankan untuk hindari penggunaan produk pada sistem penting kecuali vendor meningkatkan pengembangan produknya, jaminan kualitas, dan praktik respons keamanan.

Ormandy, yang bekerja sebagai insinyur keamanan informasi di Google, mengungkapkan rincian tentang kerentanan yang ia temukan dalam makalah penelitian berjudul " Sophail: Menerapkan serangan terhadap Sophos Anti virus "yang dipublikasikan pada hari Senin. Ormandy mencatat bahwa penelitian dilakukan di waktu luangnya dan bahwa pandangan yang diungkapkan di kertas adalah miliknya dan bukan milik atasannya.

Makalah ini berisi rincian tentang beberapa kerentanan dalam kode antivirus Sophos yang bertanggung jawab untuk menguraikan Visual Basic 6, PDF, CAB dan file RAR. Beberapa kekurangan ini dapat diserang dari jarak jauh dan dapat mengakibatkan eksekusi kode arbitrer pada sistem.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Ormandy bahkan menyertakan proof-of-concept exploit untuk parsing kerentanan PDF yang ia klaim tidak memerlukan interaksi pengguna, tidak ada otentikasi dan dapat dengan mudah diubah menjadi worm yang menyebar sendiri.

Peneliti membangun eksploit untuk versi Mac dari Sophos antivirus, tetapi mencatat bahwa kerentanan juga mempengaruhi Versi Windows dan Linux dari produk dan eksploit dapat dengan mudah diterjemahkan ke platform tersebut.

Kerentanan penguraian PDF dapat dimanfaatkan hanya dengan menerima email di Outlook atau Mail.app, kata Ormandy di koran. Karena antivirus Sophos secara otomatis memotong operasi input dan output (I / O), membuka atau membaca email bahkan tidak diperlukan.

"Skenario serangan paling realistis untuk worm jaringan global adalah self-propagasi melalui email," kata Ormandy. "Tidak ada pengguna yang diminta untuk berinteraksi dengan email, karena kerentanan akan secara otomatis dieksploitasi."

Namun, metode serangan lain juga mungkin-misalnya, dengan membuka file jenis apa pun yang disediakan oleh penyerang; mengunjungi URL (bahkan di browser kotak pasir), atau menyematkan gambar menggunakan MIME cid: URL ke email yang dibuka di klien email web, kata peneliti. "Setiap metode penyerang dapat digunakan untuk menyebabkan I / O cukup untuk mengeksploitasi kerentanan ini."

Ormandy juga menemukan bahwa komponen yang disebut "Buffer Overflow Protection System" (BOPS) yang dibundel dengan antivirus Sophos, menonaktifkan ASLR (pengacakan tata letak ruang alamat) memanfaatkan fitur mitigasi pada semua versi Windows yang mendukungnya secara default, termasuk Vista dan yang lebih baru.

"Tidak dapat dimungkiri untuk menonaktifkan sistem ASLR seperti ini, terutama untuk menjual alternatif naif kepada pelanggan yang secara fungsional lebih miskin daripada yang disediakan oleh Microsoft, "kata Ormandy.

Sebuah komponen daftar hitam situs web untuk Internet Explorer yang diinstal oleh Sophos antivirus membatalkan perlindungan yang ditawarkan oleh fitur Mode Dilindungi peramban, kata peneliti. Selain itu, template yang digunakan untuk menampilkan peringatan oleh komponen daftar hitam memperkenalkan kerentanan skrip lintas situs universal yang mengalahkan Kebijakan Asal Sama pada browser.

Kebijakan Asal yang Sama adalah "salah satu mekanisme keamanan mendasar yang membuat internet aman untuk gunakan, ”kata Ormandy. “Dengan Kebijakan Asal yang Sama dikalahkan, situs web jahat dapat berinteraksi dengan Sistem Mail, Intranet, Registrar, Bank, dan Sistem Penggajian, dan sebagainya.”

Komentar Ormandy di seluruh kertas menunjukkan bahwa banyak dari kerentanan ini seharusnya telah tertangkap selama proses pengembangan produk dan jaminan kualitas.

Peneliti berbagi temuannya dengan Sophos di muka dan perusahaan merilis perbaikan keamanan untuk kerentanan yang diungkapkan di koran. Beberapa perbaikan diluncurkan pada 22 Oktober, sementara yang lain dirilis pada 5 November, perusahaan mengatakan Senin di posting blog.

Masih ada beberapa masalah yang berpotensi dieksploitasi yang ditemukan oleh Ormandy melalui fuzzing-pengujian keamanan metode-yang dibagikan dengan Sophos, tetapi tidak diungkapkan secara terbuka. Isu-isu tersebut sedang diperiksa dan perbaikan untuk mereka akan mulai diluncurkan pada 28 November, perusahaan mengatakan.

"Sebagai perusahaan keamanan, menjaga pelanggan tetap aman adalah tanggung jawab utama Sophos," kata Sophos. "Akibatnya, para ahli Sophos menyelidiki semua laporan kerentanan dan menerapkan tindakan terbaik dalam periode waktu tersulit mungkin."

"Sangatlah baik bahwa Sophos telah mampu memberikan rangkaian perbaikan dalam beberapa minggu, dan tanpa mengganggu pelanggan 'operasi biasa,' kata Graham Cluley, konsultan teknologi senior di Sophos, Selasa melalui email. "Kami bersyukur bahwa Tavis Ormandy menemukan kerentanan, karena ini telah membantu membuat produk Sophos lebih baik."

Namun, Ormandy tidak puas dengan waktu yang dibutuhkan Sophos untuk menambal kerentanan kritis yang dia laporkan. Masalah tersebut dilaporkan kepada perusahaan pada 10 September, katanya.

"Menanggapi akses awal untuk laporan ini, Sophos mengalokasikan beberapa sumber daya untuk menyelesaikan masalah yang dibahas, namun mereka jelas tidak siap untuk menangani output dari seorang peneliti keamanan kooperatif, non-permusuhan, ”kata Ormandy. "Seorang penyerang canggih yang didukung negara atau sangat termotivasi dapat menghancurkan seluruh basis pengguna Sophos dengan mudah."

"Sophos mengklaim produk mereka dikerahkan di seluruh perawatan kesehatan, pemerintah, keuangan dan bahkan militer," kata peneliti. “Kekacauan penyerang termotivasi dapat menyebabkan sistem ini adalah ancaman global yang realistis. Untuk alasan ini, produk Sophos seharusnya hanya dipertimbangkan untuk sistem non-kritis bernilai rendah dan tidak pernah digunakan pada jaringan atau lingkungan di mana kompromi komplet oleh lawan akan merepotkan. ”

Makalah Ormandy berisi bagian yang menjelaskan praktik terbaik dan termasuk rekomendasi para peneliti untuk pelanggan Sophos, seperti menerapkan rencana darurat yang akan memungkinkan mereka untuk menonaktifkan instalasi Sophos antivirus dengan pemberitahuan singkat.

"Sophos tidak dapat bereaksi cukup cepat untuk mencegah serangan, bahkan ketika disajikan dengan mengeksploitasi kerja," katanya.. "Jika seorang penyerang memilih untuk menggunakan Sophos Antivirus sebagai saluran mereka ke jaringan Anda, Sophos tidak akan dapat mencegah gangguan terus-menerus untuk beberapa waktu, dan Anda harus menerapkan rencana darurat untuk menangani skenario ini jika Anda memilih untuk melanjutkan penyebaran Sophos."