Sikkerhetsforskere ved Googles Project Zero har funnet flere særdeles alvorlige sårbarheter i den sentrale motoren i Symantecs sikkerhetsprodukter. Dette betyr at alle antivirusprodukter solgt under varemerkene Symantec og Norton er berørt, også til andre plattformer enn Windows.
Ifølge sikkerhetsforskeren Tavis Ormandy åpner flere av sårbarhetene for fjernkjøring av vilkårlig kode og dataormer, altså en form for vertsuavhengig datavirus med innebygde spredningsmekanismer.
Kan vanskelig bli verre
– Disse sårbarhetene er så ille som de kan få blitt. De krever ingen brukerinteraksjon, de berører standardkonfigurasjonen og programvaren kjøres med de høyest mulige privilegiumnivåene. I visse tilfeller i Windows kjøres lastes den sårbare koden inn i kjernen, noe som resulterer i fjernstyrt korrumpering av kjerneminnet, skriver Ormandy.
Mange av de berørte verktøyene har eller vil på egenhånd oppdatere seg selv. Men det gjelder langt fra alle. Symantec har offentliggjort en oversikt over dette på denne siden.
I tillegg til de svært høye privilegiene sikkerhetsprodukter som dette har, er det gjerne disse produktene som utgjør det ytre forsvaret mot innkommende angrepskode.
Ormandy skriver at fordi Symantec bruker en filterdriver til å avskjære all I/O-en (Input/Output) i systemet, vil det å inkludere et ondsinnet vedlegg i en e-post, eller selv en lenke til en slik skadevare, kunne være nok til å starte angrepet. Brukeren selv behøver ikke gjøre annet enn å starte e-postprogrammet slik at e-posten lastes ned.
På grunn av dette, kombinert med ormmulighetene, mener Ormandy at dette kan ha ødeleggende konsekvenser for Norton- og Symantec-kundene. Hele virksomheter kan kompromitteres.
- På nytt og på nytt: Superpinlig sårbarhet funnet i antivirus-verktøy
Ikke risikofritt å bruke antivirus
– Nettverksadministratorer bør ha slike scenarier i tankene når de ruller ut antivirus. Det er en betydelig nedside i form av økt angrepsflate, mener Ormandy.
Blant de faktiske sårbarhetene, som det er temmelig mange av, er blant annet én knyttet til utpakking av arkivformater som ZIP og RAR.
Fullstendig utdatert
Decomposer-komponenten som utfører denne utpakkingen kjøres som NT AUTHORITY\SYSTEM i Windows og root i Linux og OS X. Pakken for dekomprimering av RAR-filer er hentet fra åpen kildekode-prosjektet til RAR labs, men ifølge Ormandys beskrivelse dreier det seg om en versjon fra januar 2012.
– Mellom den versjonen av unrar som Symantec kjører som NT AUTHORITY\SYSTEM for å pakke ut ikke-tiltrodde binærfiler som mottas over nettverket, og den nåværende versjonen (av unrar, journ. anm.), har bokstavelig talt hundrevis av kritiske minnekorrumperingsfeil blitt fjernet, skriver Ormandy.
Langt flere detaljer om sårbarhetene finnes i blogginnlegget til Ormandy og i beskrivelsene av de enkelte sårbarhetene. Også eksempelkode på hvordan sårbarhetene kan utnyttes, er nå utgitt. Derfor haster det å installere oppdateringene.
- Leste du denne? Enda flere sårbarheter i Lenovos pc-verktøy
