Atak na antywirusy Norton/Symantec: wystarczy wysłać e-mail… całkowite przejęcie ofiary

TL;DR: wczoraj Symantec udostępnił łaty na aż sześć błędów zakwalifikowanych ryzykiem High.

Tym razem Tavis Ormandy się nie patyczkuje i publikuje, również w formie przyjaznej dla szarego zjadacza cyber-chlebam szczegóły krytycznych podatności w rozmaitych antywirusach Symanteca (CVE-2016-2208, domyślna konfiguracja): Norton Antivirus, Symantec Endpoint, Symantec Email Security, Symantec Protection for SharePoint/Exchange/Notes/etc.

Tavis wspominał już w maju, że odpowiednio spreparowany e-mail można bez żadnej interakcji ze strony ofiary (nie jest wymagane nawet otwieranie takiego e-maila) przejąć jej komputer (uzyskując max uprawnienia) a później w automatyzowany sposób przenieść atak na całą sieć (przygotować robaka):

Because Symantec uses a filter driver to intercept all system I/O, just emailing a file to a victim or sending them a link to an exploit is enough to trigger it – the victim does not need to open the file or interact with it in anyway. (…) An attacker could easily compromise an entire enterprise fleet using a vulnerability like this.

Symantec w odpowiedzi wypuścił patcha, choć to nie koniec zabawy w „kotka i myszkę”. Wczoraj mieliśmy załataną kolejną serię bugów zakwalifikowanych z ryzykiem High (szczegóły na stronie Symanteca) – buffer overflow, memory access violation, memory corruption – do wyboru do koloru.

To już kolejny raz kiedy twórcy antywirusów wykazują pewną niefrasobliwość (niedawno opisywaliśmy np. Kasperskiego, podczas kompilacji którego wyłączona była opcja ochrony samego AV przed podatnościami buffer overflow).

Tym razem, w produktach Symanteca  jednym z zasadniczych problemów jest uruchamianie unpackerów w kontekście jądra systemu operacyjnego.

Podatności zostały właśnie poprawione.

–Michał Sajdak