Орманди объяснил, что в некоторых ситуациях антивирусный движок Symantec небезопасным образом обрабатывал определенный тип данных, что могло приводить к ошибке переполнения буфера.
Экслойт узявимости тривиален
Тавис пояснил, что “при обработке исполняемых файлов, сжатых ранними версиями aspack, в Symantec Antivirus Engine могла происходить ошибка переполнения буфера. Проблема происходила, когда происходило усечение секции данных, а именно когда значение SizeOfRawData превышало SizeOfImage. Ошибка наблюдалась в большинстве антивирусных продуктов Norton от Symantec”.
Эта уязвимость могла приводить к сбою антивирусного двигателя нестандартным способом, а злоумышленник таким образом получал административные привилегии и мог исполнять произвольный код на машине. Уязвимость имеет идентификатор CVE-2016-2208 и влияет на операционные системы Mac, Linux и Windows.
Орманди утверждает, что эксплуатировать уязвимость совсем несложно. Так как дыра безопасности находится в самом движке сканирования и активна при открытии и чтении любых файлов, а не только объектов, выбранных пользователем, мошенник может просто отправлять ссылку на размещенный на веб-сервере пакет эксплойтов по электронной почте.
Двигатель сканирования автоматически сканирует контент и компрометирует машину пользователя без взаимодействия с пользователем.
Эксплуатация в Windows приводила к BSOD
На компьютерах Windows по словам Орманди проблема особо значительна, так как антивирусный двигатель работает непосредственно в режиме ядра Windows.
Эксплуатация дыры безопасности приводила к повреждению Ring 0 - уровня ядра операционной системы с максимальными привилегиями, что отражается на взаимодействии с оборудованием, в частности с процессором и ОЗУ. Все это приводит к состоянию “паники ядра”, что иногда может вызывать отображение синего экрана BSOD.
CVE-2016-2208 повлияла на ряд продуктов Symantec: Symantec Endpoint Antivirus, Norton Antivirus, Symantec Scan Engine и Symantec Email Security. Орманди, считает, что другие продукты, использующие Symantec Antivirus Engine, также находились под угрозой.
Исследователь раскрыл уязвимость Symantec, и компания уже выпустила патч, который можно загрузить и обновить антивирусные продукты.
Critical Symantec fix being released later today via LiveUpdate. The other critical RCE vulns cant be fixed via LU, will require a patch.
— Tavis Ormandy (@taviso) 16 мая 2016 г.
Угрозы безопасности
• Google устранила две уязвимости «нулевого дня» в Android, которые использовались в атаках
• ShadyPanda: Вредоносные расширения для Chrome и Edge установлены более 4,3 млн раз
• Приложение SmartTube для Android TV, для проcмотра YouTube без рекламы, оказалось заражено вредоносным ПО
• Вредоносные ИИ нового поколения: WormGPT 4 и KawaiiGPT уже генерируют рабочие скрипты для кибератак
• Посылка доставлена! Но вы её не заказывали: «Лаборатория Касперского» предупреждает о новых угрозах – брашинге и квишинге
• ASUS предупреждает о новой критической уязвимости обхода аутентификации в роутерах с AiCloud