勒索軟體如何危害你的電腦? 卡巴斯基協助你抵禦勒索軟體 (英文版)
安全研究员Tavis Ormandy发现了由英国安全公司Sophos开发的防病毒产品中的关键漏洞,并建议组织避免在关键系统上使用该产品,除非供应商改进其产品开发,质量保证和安全响应实践。
作为Google信息安全工程师的Ormandy在一篇名为“ Sophail:应用针对Sophos Anti的攻击病毒“,周一发布。 Ormandy指出,这项研究是在他的业余时间进行的,论文中表达的观点是他自己的观点,而不是他的雇主的观点。
本文包含有关Sophos反病毒代码中负责解析Visual Basic 6的几个漏洞的详细信息,PDF,CAB和RAR文件。其中一些缺陷可能会被远程攻击,并可能导致系统上执行任意代码。
[更多阅读:如何从Windows PC中删除恶意软件]Ormandy甚至包含了概念验证漏洞对于他声称无需用户交互,无需用户交互,无需身份验证并且可以轻松转换为自我传播蠕虫的PDF解析漏洞
研究人员构建了Sophos防病毒Mac版的漏洞利用,但指出该漏洞也会影响Windows和Linux版本的产品和漏洞利用可以很容易地转化为这些平台。
Ormandy在文章中说,PDF解析漏洞可以通过简单地在Outlook或Mail.app中接收电子邮件来利用。由于Sophos防病毒软件会自动拦截输入和输出(I / O)操作,因此甚至不需要打开或阅读电子邮件。
“全球网络蠕虫的最真实的攻击情况是通过电子邮件自我传播,”Ormandy说。 “不需要用户与电子邮件进行交互,因为漏洞会被自动利用。”
但是,其他攻击方法也是可能的 - 例如打开攻击者提供的任何类型的文件;访问URL(甚至在沙箱浏览器中),或者将使用MIME cid:URL的图像嵌入到在webmail客户端打开的电子邮件中,研究人员说。 “任何攻击者可用来造成I / O的方法都足以利用此漏洞。”
Ormandy还发现,与Sophos Antivirus捆绑在一起的名为“缓冲区溢出保护系统”(BOPS)的组件会禁用ASLR(地址空间布局随机化)在默认支持它的所有Windows版本上利用缓解功能,包括Vista和更高版本。
“这样做完全禁止ASLR系统是不可原谅的,特别是为了向客户销售一种天真的替代品在功能上比微软提供的功能差,“Ormandy说,
Sophos防病毒安装的用于Internet Explorer的网站黑名单组件取消了浏览器的保护模式功能提供的保护,研究人员说。此外,用于显示黑名单组件警告的模板引入了一个通用的跨站点脚本漏洞,该漏洞可以破坏浏览器的同源策略。
同源策略是“使互联网安全的基本安全机制之一使用,“Ormandy说。 “在同源策略失败的情况下,恶意网站可以与您的邮件,内联网系统,注册服务商,银行和工资系统等进行交互。”
Ormandy在整篇文章中的评论表明,应该已经发现许多这些漏洞在产品开发和质量保证过程中。
研究人员事先与Sophos分享了他的研究结果,该公司发布了针对该文件中披露的漏洞的安全修复。该公司周一在一篇博客文章中称,其中一些修复程序于10月22日推出,而其他修复程序则于11月5日发布。
Ormandy通过模糊测试发现了一些潜在的可利用问题 - 安全测试方法 - 与Sophos共享,但未公开披露。 Sophos表示:“作为一家安全公司,保证客户的安全是Sophos的首要责任,”Sophos表示,“这些问题正在研究中,修复将于11月28日开始实施。 “因此,Sophos专家将调查所有漏洞报告,并在最短时间内实施最佳行动方案。”
“Sophos能够在几周内提供一套修复程序并且不会中断客户“通常的操作”,Sophos的高级技术顾问Graham Cluley周二通过电子邮件表示。 “我们非常感谢Tavis Ormandy发现了这些漏洞,因为这有助于使Sophos的产品更好。”然而,Ormandy并不满意Sophos需要补丁他报告的关键漏洞的时间。他说,这些问题在9月10日向公司报告,“为了回应早期获得这份报告,Sophos确实分配了一些资源来解决所讨论的问题,但他们显然没有足够的资源来处理一个合作,非敌对的安全研究员,“Ormandy说。这位研究人员表示:“一个由政府资助或高度积极进取的尖端攻击者可能会轻易破坏整个Sophos用户群。”
Ormandy的论文包含一节介绍最佳实践和包括研究人员对Sophos客户的建议,例如实施应急计划,以便他们在短时间内禁用Sophos防病毒安装。“
Sophos根本无法做出足够快的反应来防止攻击,即使提供了有效的漏洞利用程序,”他说。 。 “如果攻击者选择使用Sophos Antivirus作为您网络的管道,Sophos将无法阻止他们持续入侵一段时间,如果您选择继续部署Sophos,则必须实施应急计划来处理这种情况。”