الباحث يجد نقاط ضعف حرجة في منتج Sophos لمكافحة الفيروسات

اكتشف الباحث في الأمن Tavis Ormandy نقاط الضعف الحرجة في منتج مكافحة الفيروسات الذي طورته شركة الأمان Sophos ومقرها المملكة المتحدة ونصحت المنظمات إلى تجنب استخدام المنتج في الأنظمة الأساسية ما لم يحسِّن البائع تطوير منتجاته وممارسات ضمان الجودة وممارسات الاستجابة الأمنية. Sophail: الهجمات التطبيقية ضد Sophos Anti فيروس "الذي تم نشره يوم الاثنين. أشار أورماندى إلى أن البحث تم إجراؤه في وقت فراغه وأن الآراء المعبر عنها في الورقة هي خاصة به وليس آراء مستخدمه.

تحتوي الورقة على تفاصيل حول العديد من نقاط الضعف في كود الحماية من فيروس سوفوس المسئول عن إعراب Visual Basic 6. ملفات PDF و CAB و RAR. يمكن مهاجمة بعض هذه العيوب عن بعد ويمكن أن يؤدي إلى تنفيذ تعليمات برمجية عشوائية على النظام.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows الخاص بك]

حتى Ormandy شملت استغلال إثبات الفكرة بالنسبة إلى ثغرة تحليل PDF التي يدّعي أنها لا تتطلب تفاعلًا للمستخدم ، ولا مصادقة ، ويمكن تحويلها بسهولة إلى دودة ذاتية الانتشار.

قام الباحث ببناء استغلال لبرنامج Mac الخاص بإصدار Sophos antivirus ، ولكنه أشار إلى أن الثغرة تؤثر أيضًا يمكن بسهولة نسخ إصدارات Windows و Linux من المنتج والاستغلال إلى هذه المنصات.

يمكن استغلال ثغرة تحليل PDF بمجرد تلقي بريد إلكتروني في Outlook أو Mail.app ، حسبما قال أورماند في الصحيفة. نظرًا لأن برنامج Sophos antivirus يعترض تلقائيًا عمليات الإدخال والإخراج (I / O) ، فإن فتح أو قراءة البريد الإلكتروني ليس ضروريًا حتى.

"إن السيناريو الأكثر واقعية بالنسبة لدودة الشبكة العالمية هو الانتشار الذاتي عبر البريد الإلكتروني" ، قال أورماندى. "لا يُطلب من المستخدمين التفاعل مع البريد الإلكتروني ، حيث سيتم استغلال الثغرة الأمنية تلقائيًا."

ومع ذلك ، يمكن أيضًا استخدام طرق هجوم أخرى - على سبيل المثال ، عن طريق فتح أي ملف من أي نوع يوفره مهاجم ؛ عند زيارة عنوان URL (حتى في متصفح sandboxed) ، أو تضمين الصور باستخدام cad: URLs في بريد إلكتروني مفتوح في عميل بريد الويب ، قال الباحث. "أي طريقة يمكن أن يستخدمها المهاجم لإحداث I / O كافية لاستغلال هذه الثغرة."

كما وجد Ormandy أن مكوّن يسمى "Buffer Overflow Protection System" (BOPS) المرفق مع Sophos antivirus ، يعطل ASLR (تخطيط العشوائية تخطيط مساحة العنوان) استغلال ميزة التخفيف على كافة إصدارات Windows التي تدعمها بشكل افتراضي ، بما في ذلك Vista والإصدارات الأحدث.

"إنه ببساطة لا يمكن تبريره لتعطيل ASLR على مستوى النظام مثل هذا ، خاصة من أجل بيع بديل ساذج للعملاء الذين وقال أورماندى: "إن موقع القائمة السوداء لموقع إنترنت إكسبلورر المثبت بواسطة Sophos antivirus يلغي الحماية التي توفرها ميزة الوضع المحمي للمستعرض". بالإضافة إلى ذلك ، فإن القالب المستخدم لعرض التحذيرات من قِبل مكون القائمة السوداء يقدم ثغرة برمجة نصية شاملة عبر المواقع التي تهزم سياسة "نفس المنشأ" الخاصة بالمتصفح.

سياسة "الأصل ذاته" هي "إحدى آليات الأمان الأساسية التي تجعل الإنترنت آمنًا ل استخدام "، وقال Ormandy. "مع هزيمة سياسة Same Origin ، يمكن أن يتفاعل موقع خبيث مع أنظمة البريد والأنترانت والأنظمة المسجلة والبنوك وأنظمة المرتبات ، وهكذا."

تعليقات Ormandy في جميع أنحاء الصحيفة تشير إلى أنه كان من الممكن القبض على العديد من هذه الثغرات. أثناء تطوير المنتج وعمليات ضمان الجودة.

شارك الباحث النتائج التي توصل إليها مع Sophos مقدما وأصدرت الشركة إصلاحات أمنية لثغرات الكشف التي تم الكشف عنها في الصحيفة. تم طرح بعض الإصلاحات في 22 أكتوبر ، في حين تم إطلاق الآخرين في 5 نوفمبر ، حسبما ذكرت الشركة يوم الاثنين في مدونة.

لا يزال هناك بعض القضايا التي يمكن استغلالها والتي اكتشفها Ormandy من خلال اختبار الأمان الطريقة التي تم تقاسمها مع سوفوس ، ولكن لم يتم الكشف عنها علانية. وتجري دراسة هذه المشكلات وسيتم البدء في إصلاحها في 28 نوفمبر / تشرين الثاني ، حسبما ذكرت الشركة.

<> <> <> <> <> <> <> «كشركة أمنية ، فإن الحفاظ على سلامة العملاء هو المسؤولية الأساسية لشركة سوفوس». "ونتيجة لذلك ، يقوم خبراء Sophos بالتحقيق في جميع تقارير الضعف وتنفيذ أفضل مسار للعمل في أضيق فترة زمنية ممكنة."

"من الجيد أن Sophos تمكنت من تسليم مجموعة الإصلاحات خلال أسابيع ، وبدون تعطيل العملاء "العمليات المعتادة" ، وقال غراهام Cluley ، كبير مستشاري التكنولوجيا في سوفوس يوم الثلاثاء عبر البريد الإلكتروني. "نحن ممتنون لأن تافيس أورماندى وجد نقاط الضعف ، حيث ساعد هذا على تحسين منتجات سوفوس."

ومع ذلك ، لم يكن أورماندى راضيًا عن الوقت الذى استغرقه سوفوس لتصحيح نقاط الضعف الحرجة التى ذكرها. تم الإبلاغ عن المشكلات إلى الشركة في 10 سبتمبر ، حيث قال: <في رد فعل للوصول المبكر إلى هذا التقرير ، قامت Sophos بتخصيص بعض الموارد لحل المشكلات التي تمت مناقشتها ، ومع ذلك كانت من الواضح أنها غير مجهزة للتعامل مع مخرجات هذا التقرير. وقال أورماندى: "أحد الباحثين في مجال التعاون غير المتخاصم في مجال الأمن". وقال الباحث "يمكن لمهاجم متطور ترعاه الدولة أو متحمس بشدة أن يدمر قاعدة مستخدمي سوفوس بكل سهولة."

"تزعم شركة سوفوس أن منتجاتها منتشرة في جميع أنحاء الرعاية الصحية والحكومة والمالية وحتى الجيش". "إن الفوضى التي يمكن أن يسببها المهاجمون الدافعون لهذه الأنظمة تشكل تهديدًا عالميًا واقعيًا. ولهذا السبب ، يجب فقط النظر في منتجات سوفوس على الإطلاق لأنظمة غير حرجة ذات قيمة منخفضة ولم يتم نشرها أبدًا على الشبكات أو البيئات حيث يكون الحل الوسط الكامل من قبل الخصوم غير ملائم. "

يحتوي ورق Ormiry على قسم يصف أفضل الممارسات و تتضمن توصيات الباحثين لعملاء سوفوس ، مثل تنفيذ خطط طوارئ تسمح لهم بتعطيل تثبيتات Sophos المضادة للفيروسات في فترة قصيرة.

"لا يستطيع Sophos ببساطة الرد بالسرعة الكافية لمنع الهجمات ، حتى عندما يتم عرضه باستغلال عامل" ، قال. "إذا اختار أحد المهاجمين استخدام Sophos Antivirus كقناة لها في شبكتك ، فلن تستطيع سوفوس ببساطة منع تسللها المستمر لبعض الوقت ، ويجب عليك تنفيذ خطط طوارئ للتعامل مع هذا السيناريو إذا اخترت مواصلة نشر Sophos."