BETA

Ευπάθεια στα Antivirus της Symantec [Windows, OSX, Linux]

Εικόνα Maria

Οι εταιρείες προστασίας είναι από πιο επικερδείς στο οικονομικό καμπυλόγραμμα της τεχνολογίας εδώ και δεκαετίες. Γενικότερα, θα λέγαμε πως όσοι πουλάνε ασφάλεια και προστασία, αν θέλουν να έχουν συνεχή κερδοφορία και υψηλό τζίρο, θεωρούν πως θα πρέπει να υπάρχει ο φόβος. Και η αλήθεια είναι πως η εμφύτευση του φόβου στους ανθρώπους μπορεί να γίνει εύκολα με την αναγκαία χειραγώγηση. Πόσο δε μάλλον, στον τομέα της τεχνολογίας που οι γνώσεις είναι περιορισμένες.
Χαρακτηριστικό είναι μάλιστα το γεγονός ότι, με την άνοδο του Linux desktop τα τελευταία χρόνια, αρκετές εταιρείες προσπαθούν να μας πείσουν (LOL !!) πως θα πρέπει να αγοράσουμε το αντιικό τους και για αυτό (ουσιαστικά, στο linux, οι «κίνδυνοι», είναι εντελώς διαφορετικοί). Συνεχείς ειδήσεις για ιούς, malwares, μολύνσεις και άλλα τέτοια παρελαύνουν συχνά πυκνά από τα ειδησεογραφικά δελτία.
Μάλλον επειδή θα υπάρχουν στρατιές εκεί έξω από ειδικευμένους προγραμματιστές και developers που θεωρούν πως ο καλύτερος τρόπος για να βγάλουν λεφτά και να διασκεδάσουν, είναι να φτιάχνουν ιούς. Το ποιοι πραγματικά έχουν όφελος από αυτό και ποιοι μπορούν εύκολα να διοχετεύσουν ιούς είναι μάλλον θέμα απλής λογικής. Άλλωστε, όσο και να έχει εξελιχτεί η τεχνολογία, όλο και κάποιος ιός πάντα θα βρίσκει τον τρόπο να μολύνει χιλιάδες ή και εκατομμύρια μηχανήματα (με Windows) και αυτός ο ιός - όπως θα λεχθεί μετά - θα έχει δημιουργηθεί από τον Gary από το Dowb Stown-ass, ή από τον isis, ή από Κινέζους, Ρώσους, Βορειοκορεάτες, εξωγήινους κλπ...
Λίγο πολύ, τα έχουμε αναφέρει σε προηγούμενα άρθρα, τόσο αυτά, όσο και άλλα.

Θα υπενθυμίσουμε αυτό, που είναι απλό να το καταλάβουν όλοι/ες:

Εγκαθιστάς ένα λογισμικό, πόσο μάλλον κλειστό και εταιρικό στον υπολογιστή σου. Εκ' των πραγμάτων, αυτό πρέπει να έχει πρόσβαση στα πάντα προκειμένου να κάνει σωστά την δουλειά του.
Φυσικά, όλα αυτά κάπου καταγράφονται αποστέλλονται.
Μα εκτός αυτού, θα πρέπει να εμπιστευτείς την εταιρεία και το λογισμικό της μη γνωρίζοντας τι άλλο μπορεί να περιέχει αυτό.
Οκ, ας μην το συνεχίσουμε και περάσουμε στο συνωμοσιολογικό (;) περί ιών, antivirus, εταιρειών, μαζικής επιτήρησης κλπ...

Και αν ακόμα δεν το έχετε καταλάβει, μάλλον δεν έχετε ζήσει εκείνες τις εποχές που επιλέγαμε να είναι ενεργά τα πάντα από ένα antivirus ή απλά δεν κάναμε τίποτα και το αφήναμε όπως ήταν, μα νοιώθαμε μια ασφάλεια όταν βλέπαμε να μας δίνει κάποιες ειδοποιήσεις.
Δείτε λοιπόν μια φρέσκια τέτοια περίπτωση που αν μη τι άλλο, αναδεικνύει την ψευδαίσθηση ασφάλειας που προσφέρουν τα antivirus:

Στο Symantec Antivirus Engine, βρέθηκε ευπάθεια που οδηγεί σε άμεση καταστροφή της μνήμης του πυρήνα (kernel memory corruption, δηλαδή σε διαγραφή δεδομένων της μνήμης του πυρήνα). Και ο χρήστης των Windows, χωρίς να έχει κάνει απολύτως τίποτα και φυσικά χωρίς να φταίει σε τίποτα, βρίσκεται μπροστά σε μια μπλε οθόνη.

Είχε μυαλό στο κεφάλι του αυτός που σκέφτηκε ότι ήταν καλή ιδέα η τοποθέτηση ενός μηχανισμού anti-virus στον πυρήνα των Windows; [If it's possible δηλαδή.]

Η απόδειξη ήρθε από τον Tavis Ormandy, ερευνητή ασφάλειας του Project Zero της Google, ο οποίος ανακάλυψε ότι το Antivirus Engine Symantec (ο Μηχανισμός / Κινητήρας, Ανίχνευσης Ιών, της γνωστής εταιρείας ασφάλειας Symantec) ήταν ευάλωτο σε buffer overflow (σε υπερχείλιση της μνήμης) όταν έφταναν στο Antivirus Engine Symantec (Μηχανισμός Ανίχνευσης Ιών) ακατάλληλα εκτελέσιμα.

Το πρόβλημα είναι ότι το ελάττωμα έγκειται στον ίδιο τον μηχανισμό ανίχνευσης ιών. Οπότε, από την στιγμή που ο μηχανισμός Antivirus ανοίγει και διαβάζει οποιοδήποτε αρχείο, ασχέτως αν ο χρήστης δεν ζήτησε από το Antivirus να σαρώσει κάποιο πρόγραμμα, ο χρήστης μπορεί να την πατήσει και μόνον επειδή άνοιξε κάποιο μέιλ ή κατέβασε κάποιο έγγραφο είτε κάποια αίτηση ή πολύ απλά μπήκε σε κάποιο κακόβουλο site.


[εικόνα απο Τavis Ormandy/Google Project Zero]

Όπως εξηγεί η Symantec, σε θέμα που άνοιξε σχετικά με το ζήτημα της ευπάθειας που προέκυψε και που ονομάστηκε CVE-2016-2208,

Such malformed PE files can be received through incoming email, downloading of a document or application, or by visiting a malicious web site.

ελληνιστί

Τέτοια ακατάλληλα αρχεία PE μπορεί να ληφθούν μέσω εισερχόμενων e-mail, με το κατέβασμα ενός εγγράφου ή αίτησης, είτε με επίσκεψη σε μια κακόβουλη ιστοσελίδα.

Τονίζοντας πως:

No user interaction is required to trigger the parsing of the malformed file.

δηλαδή:

Δεν απαιτείται καμία αλληλεπίδραση του χρήστη για να προκληθεί η εκτέλεση του ακατάλληλου αρχείου.

Ο Tavis Ormandy, του Project Zero της Google, ο οποίος βρήκε την ευπάθεια, είπε:

On Linux, Mac and other UNIX platforms, this results in a remote heap overflow as root in the Symantec or Norton process.

On Windows, this results in kernel memory corruption, as the scan engine is loaded into the kernel (wtf!!!), making this a remote ring0 memory corruption vulnerability - this is about as bad as it can possibly get.

που σημαίνει:

Για το Linux, το OS X και τα άλλα Unix-ειδή συστήματα (πλατφόρμες), το αποτέλεσμα είναι να επιφέρει απομακρυσμένη υπερχείλιση heap overflow (υπερχείλιση - επιθέσεις, δηλαδή - στο heap, στο κομμάτι μνήμης που μπορεί ένα πρόγραμμα να ζητήσει από το λειτουργικό σύστημα και το οποίο θα του αποδοθεί δυναμικά) και να χορηγεί προνόμια root (υπερχρήστη / διαχειριστή) στον εισβολέα, ο οποίος έτσι μπορεί να εκτελέσει κώδικα στον υπολογιστή του ανύποπτου χρήστη κατά την διαδικασία του Μηχανισμού των προϊόντων της εταιρείας, όπως το Symantec Endpoint Antivirus και το Norton Antivirus.

Στα Windows, αυτό οδηγεί σε καταστροφή της μνήμης του πυρήνα, καθώς ο μηχανισμός της σάρωσης για ιούς έχει τοποθετηθεί στον πυρήνα των Windows (αν είναι δυνατόν δηλαδή!!!), προκαλώντας την καταστροφή του ring0 του πυρήνα.

Η ίδια η εταιρεία, η Symantec, προειδοποιεί πως το πιο συνηθισμένο σύμπτωμα μιας τέτοιας επιτυχημένης επίθεσης είναι η λεγόμενη «μπλε οθόνη θανάτου», που δείχνει ότι το σύστημα... πάπαλα.

The most common symptom of a successful attack would result in an immediate system crash, aka. Blue Screen of Death (BSOD).

δηλαδή:

Το πιο συνηθισμένο σύμπτωμα μιας τέτοιας επιτυχημένης επίθεσης θα οδηγήσει πάραυτα σε κρασσάρισμα του συστήματος, τουτέστιν θα δείτε την «Μπλε Οθόνη του Θανάτου».

Την Δευτέρα η Symantec έβγαλε fix (διόρθωση) για την εν λόγω ευπάθεια και καλεί τους χρήστες να το κατεβάσουν.

Σύμφωνα με τον Ormandy, η ευπάθεια CVE-2016-2208 έπληξε τα Symantec Endpoint Antivirus, Norton Antivirus, Symantec Scan Engine, and Symantec Email Security σε όλες τις πλατφόρμες κατά πάσα πιθανότητα και όλα τα άλλα προϊόντα της Symantec Antivirus.

Μάλιστα, όταν ο Ormandy προσπάθησε να ενημερώσει την Symantec για την ευπάθειά της, το e-mail του που έστειλε (στην εταιρεία) κράσσαρε τον σέρβερ ηλεκτρονικού ταχυδρομείου της Symantec.

 

[Πηγή]


Αλήθεια, ποιος θα μας προστατέψει από τους «προστάτες»;

  • Σχόλια

0 Comments:

Scroll to Top