Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/11/2012
L'antivirus Sophos introduïx nombroses vulnerabilitats en el sistema
Tavis Ormandy ho ha tornat a fer. S’ha arromangat i estudiat a fons el comportament d’este antivirus fins a trobar nombroses vulnerabilitats molt interessants tant de disseny com d’implementació. Però pitjor encara, s’ha topat amb un producte que empitjora la seguretat del sistema operatiu, i amb un laboratori al qual li costa corregir els problemes trobats.A l’agost de 2011, Ormandy va publicar un extens estudi sobre Sophos, (denominat irònicament "Sophail") en el que "ridiculitzava" la implementació de les proteccions que oferia el motor, des del sistema de firmes fins a la protecció dels desbordaments de memòria que prometien, entre d'altres. Criticava l’ús de XOR per a "xifrar", la parafernàlia "pseudocientífica" que ostentava la seua publicitat en contrast amb la realitat d’una implementació "innocent" contra alguns atacs... Fins estudiava obertament com el mateix antivirus obria una superfície d’atac en el sistema per a qui volguera aprofitar-la.
Davall la segona versió d’eixe document, Ormandy se centra ara a trobar vulnerabilitats en el motor en si i més problemes en la implementació. No han sigut poques les fallades trobades. Entre estes, algunes que empitjoren la seguretat de Windows:
-
Execució de codi al manar analitzar un binari especialment manipulat en format RAR, PDF, un executable en Visual Basic i CAB.
-
Elevació de privilegis gràcies a un problema de permisos en Sophos.
-
CrossSite Scripting a l’hora de mostrar codi HTML podria permetre el robatori de galletes de l’usuari. Açò ocorre en la pàgina de bloqueig de contingut suposadament maliciós que mostra l’antivirus en el navegador.
-
La protecció Buffer Overflow Protection System (BOPS) de Sophos, lluny de protegir, càrrega en cada procés del sistema una DLL sense ASLR actiu, per la qual cosa a efectes pràctics, inutilitza l’ASLR del sistema.
-
El servici Layered Service Provider (LSP, que bloqueja contingut d’Internet Explorer) càrrega mòduls des d’un directori d’integritat baixa i escrivible, la qual cosa en la pràctica inutilitza el mode protegit d’Internet Explorer.
Els últims dos errors són senzills de trobar i al seu torn prou grollers, i comporten un profund desconeixement de la seguretat bàsica actual de Windows. Per a detectar-los només es necessita mirar les característiques dels binaris que componen el producte Sophos. De fet, Tavis arremet en el document contra Sophos en este sentit: "Un dels "product mànager" de Sophos va dir "La llibreria de Sophos, Sophos_detoured.dll, s’ha compilat sense ASLR per motius de rendiment". Després van aclarir que açò no representa la posició de l’equip de seguretat de l’empresa i és producte a un malentés".
Per tant, no es tracta només de vulnerabilitats en el codi: eixos problemes ocorren en qualsevol programari i són totalment comprensibles... Les fallades de Sophos pareixen un greu problema d’enteniment de la seguretat de base, o almenys, descuits imperdonables tenint en compte que precisament pretenen protegir l’usuari. La frase d’Ormandy amb què conclou l’estudi, és molt reveladora: "Sophos va poder convéncer-me que treballaven amb bones intencions, però realment no disposaven de l’equip necessari per a manejar la informació descoberta per un investigador de seguretat que coopera en el seu temps lliure. Em van dir que treballarien en açò i que millorarien les seues pràctiques internes de seguretat".
Sistemes Afectats:Tots els productes de Sophos, en versions anteriors al 5 de novembre.
Referències:None
Solució:Instal·lar les últimes actualitzacions del producte.
Els pegats per a solucionar la majoria de les vulnerabilitats (reportades el 10 de setembre) ja han sigut publicats. Només una de les vulnerabilitats encara no ha sigut solucionada, i el fabricant té previst publicar esta actualització a partir del 28 de novembre.
Notes:Sophail: A Critical Analysis of Sophos Antivirus
Sophail v2: Applied attacks against Sophos Antivirus