image

Onderzoeker vindt ernstig worm-lek in Sophos anti-virus

maandag 5 november 2012, 17:23 door Redactie, 6 reacties

De beveiligingsonderzoeker en Google-medewerker Tavis Ormandy heeft wederom ernstige beveiligingsproblemen in de virusscanner van het Britse Sophos ontdekt, onder andere een manier waardoor een worm zich kan verspreiden. Na een onderzoek vorig jaar heeft Ormandy nu een rapport gepubliceerd genaamd 'Practical Attacks against Sophos Antivirus', waarbij praktische aanvallen tegen de virusscanner centraal staan.

In het nieuwste rapport met de bestandsnaam Sophailv2 staat een werkende remote root exploit waar geen enkele interactie is vereist. Zodra de virusscanner een bestand scant, dat bijvoorbeeld per e-mail is verstuurd, wordt de exploit uitgevoerd.

Volgens Ormandy zou het lek binnen een paar dagen door een worm zijn te misbruiken. Hij adviseert systeembeheerders die de software van Sophos beheren om de adviezen op te volgen. Ook doet de onderzoeker andere aanbevelingen om de schade "veroorzaakt door Sophos' te beperken.

Exploit
In het rapport staat een werkende exploit voor Sophos 8.0.6c op de Mac. Dit is de gratis versie die door honderdduizenden Mac-gebruikers is geïnstalleerd. Ormandy merkt op dat de in de exploit gebruikte techniek ook eenvoudig naar Windows en Linux is over te zetten. "Vanwege verschillende ernstige implementatiefouten zoals beschreven in het rapport."

Ormandy is keihard in zijn kritiek over de virusscanners. "Het installeren van Sophos Antivirus stelt machines bloot aan behoorlijk risico. Als Sophos niet snel hun beveiligingspostuur verbetert, betekent dit een risico voor wereldwijde netwerken en infrastructuur."

Oplossing
Sophos zou een aantal zaken uit het rapport hebben opgepakt. "Maar ze waren duidelijk slecht uitgerust om de output van één meewerkende, niet-vijandige beveiligingsonderzoeker aan te kunnen. Een geraffineerde door een staat gesponsorde of zeer gemotiveerde aanvaller zou de volledige Sophos-gebruikersgroep met eenvoud kunnen vernietigen."

De producten van Sophos zouden volgens het bedrijf zelf door de gezondheidszorg, overheid, banken en zelfs het leger worden gebruikt. "De chaos die een aanvaller kan veroorzaken aan deze systemen is een realistische globale dreiging." De onderzoeker adviseert Sophos-producten dan ook voor alleen onbelangrijke systemen.

Ormandy zou de exploit al sinds september in zijn bezit hebben, maar kreeg van Sophos het verzoek om twee maanden te verwachten, zodat het anti-virusbedrijf een oplossing kon ontwikkelen. Volgens de onderzoeker komt Sophos vandaag met een eigen advies voor klanten, maar die heeft hij niet in kunnen zien.

Update 17:30
Sophos heeft inmiddels via een blogposting een reactie online gezet waarin het laat weten dat de gevaarlijkste beveiligingslekken in de virusscanner zijn verholpen. Voor verschillende andere problemen verschijnt vandaag een update.

Ormandy zou onlangs ook nog andere kwetsbaarheden hebben ontdekt die de virusscanner kunnen laten stoppen met werken. Deze problemen worden op 28 november gepatcht.

Het anti-virusbedrijf gaat echter nergens in op de kritiek van Ormandy dat er fundamentele problemen met het product zijn. Ook probeert Sophos het probleem te bagatelliseren door in dik gedrukte letters te laten weten dat het geen bewijs heeft gevonden dat er exploits voor de door Ormandy gevonden problemen in het wild zijn gebruikt.

Reacties (6)
05-11-2012, 19:04 door Anoniem
Jammer hoor. Concurrentie failliet proberen te maken met aanbevolen het product niet te gebruiken terwijl er nog geen schade is opgelopen. Die onderzoeker kon ook gewoon hun melden over de exploit en stil zijn en geen paniek veroorzaken. Maar hij moest zo nodig media erbij halen en paniek veroorzaken. Erg jammer.
05-11-2012, 20:00 door Anoniem
>>Ook doet de onderzoeker andere aanbevelingen om de schade "veroorzaakt door Sophos' te beperken.<<

Nou ja zeg....

>>De producten van Sophos zouden volgens het bedrijf zelf door de gezondheidszorg, overheid, banken en zelfs het leger worden gebruikt. De onderzoeker adviseert Sophos-producten dan ook voor alleen onbelangrijke systemen. <<

Ja das even lekker zeg?? Alle systemen zijn toch belangrijk.
05-11-2012, 20:48 door Anoniem
Onderzoeker vindt ernstig worm-lek in Sophos anti-virus

iemand enige idee of het beter is Sophos er Tijdelijk af te gooien ?
05-11-2012, 21:15 door AdVratPatat
Tsk tsk, dat had ik echt beter verwacht van een bekende speler, zowel privé als zakelijk gelukkig helemaal niets met Sophos te maken, anders was dat ook nu direct klaar geweest...
05-11-2012, 22:19 door Anoniem
Ik heb sterk de indruk dat Tavis security bugs gebruikt om een soort privé vete met Sophos uit te vechten. Sophos heeft sterke kritiek op de ethiek van Tavis nadat hij een werkende exploit had gepubliceerd dat hij 5 dagen ervoor aan Microsoft had gerapporteerd:

http://nakedsecurity.sophos.com/2010/06/11/google-engineer-act-irresponsibly-microsoft-zeroday-disclosure/
http://nakedsecurity.sophos.com/2010/06/15/tavis-ormandy-pleased-website-exploits-microsoft-zeroday/

Tavis wil geen antwoord geven op de vraag waarom hij precies de exploit had gepubliceerd en wat er precies mis was gegaan tussen hem en Microsoft:
http://seclists.org/fulldisclosure/2010/Jun/237
https://twitter.com/taviso/statuses/18463511698

De exploit dook vrij kort daarna op in exploit kits als BlackHole. Volgens Tavis is het onmogelijk om te weten of dit wel door hem komt omdat er nog geen signatures waren voor de bug en er een kans was dat iemand anders dezelfde bug had gevonden. Na het kritiek van Sophos op de werkwijze van Tavis, heeft Tavis een rapport gepubliceerd waarin Sophos niet goed uit kwam: http://lock.cmpxchg8b.com/Sophail.pdf. Een groot deel van de kritiek op Sophos in het eerste artikel is echter ook van toepassing op andere AV vendors, maar Tavis benoemt alleen Sophos en moedigt mensen zelfs aan om geen software van Sophos te gebruiken.

Nu heeft Tavis een remote code exec bug gevonden en raadt mensen wederom af Sophos te gebruiken:

"The author is often asked what he recommends existing Sophos users migrate to. The author currently recommends
Parity Suite, from Bit9 software7, an easily defensible solution"
06-11-2012, 09:48 door Anoniem
Het grootste virus is een anti-virus (programma)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.