Investigador encuentra vulnerabilidades críticas en el producto antivirus de Sophos

El investigador de seguridad Tavis Ormandy descubrió vulnerabilidades críticas en el producto antivirus desarrollado por la firma de seguridad británica Sophos. evite usar el producto en sistemas críticos a menos que el proveedor mejore sus prácticas de desarrollo de productos, garantía de calidad y respuesta de seguridad.

Ormandy, que trabaja como ingeniero de seguridad de la información en Google, reveló detalles sobre las vulnerabilidades que encontró en un trabajo de investigación titulado " Sophail: ataques aplicados contra Sophos Anti virus "que fue publicado el lunes. Ormandy señaló que la investigación se realizó en su tiempo libre y que las opiniones expresadas en el documento son suyas y no las de su empleador.

El documento contiene detalles sobre varias vulnerabilidades en el código de Sophos antivirus responsable del análisis de Visual Basic 6, PDF, CAB y archivos RAR. Algunos de estos defectos se pueden atacar de forma remota y pueden dar lugar a la ejecución de código arbitrario en el sistema.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Ormandy incluso incluyó un exploit de prueba de concepto para la vulnerabilidad de análisis de PDF que, según él, no requiere interacción del usuario ni autenticación y puede transformarse fácilmente en un gusano autoexpansible.

El investigador creó el exploit para la versión Mac del antivirus de Sophos, pero señaló que la vulnerabilidad también afecta Las versiones de Windows y Linux del producto y del exploit se pueden traducir fácilmente a esas plataformas.

La vulnerabilidad de análisis PDF se puede explotar simplemente recibiendo un correo electrónico en Outlook o Mail.app, dijo Ormandy en el documento. Dado que el antivirus de Sophos intercepta automáticamente las operaciones de entrada y salida, la apertura o lectura del correo electrónico ni siquiera es necesaria.

"El escenario de ataque más realista para un gusano de red global es la autopropagación por correo electrónico", dijo Ormandy. "No se requiere que los usuarios interactúen con el correo electrónico, ya que la vulnerabilidad se explotará automáticamente".

Sin embargo, también son posibles otros métodos de ataque, por ejemplo, al abrir cualquier archivo de cualquier tipo proporcionado por un atacante; visitando una URL (incluso en un navegador de espacio aislado) o incrustando imágenes usando MIME cid: URL en un correo electrónico que se abre en un cliente de webmail, dijo el investigador. "Cualquier método que un atacante pueda usar para causar E / S es suficiente para explotar esta vulnerabilidad".

Ormandy también encontró que un componente llamado "Buffer Overflow Protection System" (BOPS) incluido con el antivirus de Sophos desactiva el ASLR (aleatorización de diseño de espacio de direcciones) explota la función de mitigación en todas las versiones de Windows que lo admiten de forma predeterminada, incluyendo Vista y posterior.

"Es simplemente imperdonable desactivar ASLR en todo el sistema así, especialmente para vender una alternativa ingenua a los clientes que es funcionalmente más pobre que el proporcionado por Microsoft ", dijo Ormandy.

Un componente de la lista negra para Internet Explorer instalado por el antivirus de Sophos cancela la protección ofrecida por la función Modo protegido del navegador, dijo el investigador. Además, la plantilla utilizada para mostrar advertencias por el componente de lista negra introduce una vulnerabilidad universal de scripts entre sitios que infringe la Política de mismo origen del navegador.

La misma política de origen es "uno de los mecanismos de seguridad fundamentales que hace que Internet sea segura para uso ", dijo Ormandy. "Con la misma política de origen derrotada, un sitio web malicioso puede interactuar con su correo, sistemas de intranet, registrador, bancos y sistemas de nómina, etc."

Los comentarios de Ormandy a lo largo del documento sugieren que muchas de estas vulnerabilidades deberían haber sido atrapadas durante los procesos de desarrollo de productos y garantía de calidad.

El investigador compartió sus descubrimientos con Sophos por adelantado y la compañía lanzó correcciones de seguridad para las vulnerabilidades reveladas en el documento. Algunas de las correcciones se implementaron el 22 de octubre, mientras que las otras se lanzaron el 5 de noviembre, dijo la compañía el lunes en una publicación de blog.

Todavía hay problemas potencialmente explotables descubiertos por Ormandy a través de fuzzing: una prueba de seguridad método, que se compartieron con Sophos, pero que no se dieron a conocer públicamente. Esos problemas están siendo examinados y las soluciones para ellos comenzarán a implementarse el 28 de noviembre, dijo la compañía.

"Como compañía de seguridad, mantener a los clientes a salvo es la principal responsabilidad de Sophos", dijo Sophos. "Como resultado, los expertos de Sophos investigan todos los informes de vulnerabilidad e implementan la mejor línea de acción en el período de tiempo más ajustado posible".

"Es bueno que Sophos haya podido entregar el conjunto de soluciones en cuestión de semanas y sin interrumpir a los clientes "Las operaciones habituales", dijo Graham Cluley, un consultor de tecnología senior en Sophos, el martes por correo electrónico. "Estamos agradecidos de que Tavis Ormandy haya encontrado las vulnerabilidades, ya que esto ayudó a mejorar los productos de Sophos".

Sin embargo, Ormandy no estaba satisfecho con el tiempo que tardó Sophos en corregir las vulnerabilidades críticas que informó. Los problemas fueron reportados a la compañía el 10 de septiembre, dijo.

"En respuesta al acceso temprano a este informe, Sophos asignó algunos recursos para resolver los problemas discutidos, sin embargo, estaban claramente mal equipados para manejar el resultado de un cooperativo, investigador de seguridad no adversarial ", dijo Ormandy. "Un atacante sofisticado o auspiciado por el estado podría devastar a toda la base de usuarios de Sophos con facilidad".

"Sophos afirma que sus productos se utilizan en todo el sector sanitario, gubernamental, financiero e incluso militar", dijo el investigador. "El caos que un atacante motivado podría causar en estos sistemas es una amenaza global realista". Por este motivo, los productos de Sophos solo deberían tenerse en cuenta para sistemas no críticos de bajo valor y nunca desplegados en redes o entornos donde un compromiso total por parte de los adversarios sería inconveniente. "

El documento de Ormandy contiene una sección que describe las mejores prácticas y incluye las recomendaciones del investigador para clientes de Sophos, como la implementación de planes de contingencia que les permitan desactivar las instalaciones antivirus de Sophos con poca antelación.

"Sophos simplemente no puede reaccionar lo suficientemente rápido como para evitar ataques, incluso cuando se presenta un exploit en funcionamiento", dijo. "Si un atacante elige utilizar Sophos Antivirus como su conducto en su red, Sophos simplemente no podrá evitar su intrusión continua durante algún tiempo, y debe implementar planes de contingencia para manejar este escenario si decide continuar implementando Sophos".