Vandaag patch voor ernstig lek in Sophos anti-virus
Het Britse anti-virusbedrijf Sophos zegt dat vandaag alle gebruikers beschermd zullen zijn tegen een beveiligingslek waardoor aanvallers het onderliggende systeem kunnen overnemen. Beveiligingsonderzoeker en Google-medewerker Tavis Ormandy ontdekte verschillende ernstige kwetsbaarheden in de beveiligingssoftware. Door gebruikers een bestand te laten downloaden of een e-mail te sturen, is het mogelijk om willekeurige code op het systeem uit te voeren.
Hiervoor is geen of nauwelijks interactie vereist, aangezien de scanner automatisch bestanden, links of inkomende e-mails scant. Ormandy gaf Sophos twee maanden de tijd om de problemen op te lossen. Toen de onderzoeker gisteren zijn bevindingen openbaarde, bleek dat Sophos een aantal kwetsbaarheden al had verholpen.
Voor een ander lek, dat ontstaat bij het scannen van PDF-bestanden, werd gisteren begonnen met het uitrollen van een update onder klanten. In de reactie van Sophos was echter niet aangegeven hoe consumenten kunnen weten dat ze over de meest recente versie beschikken. De virusscanner is wereldwijd op zeker honderdduizenden Macs geïnstalleerd.
Patch
"Voor het einde van de dag zou de update onder alle klanten moeten zijn uitgerold", zegt Graham Cluley van Sophos tegen Security.nl. De update was gisteren namelijk nog niet voor alle Mac-gebruikers beschikbaar. De versie waar Ormandy het probleem in ontdekte heeft als versienummer 8.0.6c. Voor deze versie publiceerde de onderzoeker ook een werkende exploit. Na het installeren van de beveiligingsupdate is het versienummer veranderd in 8.0.8c met als engine-versie 3.37.10.
"Gebruikers van onze gratis Mac anti-virus hoeven niets te doen, aangezien ze automatisch worden geüpdatet als de update beschikbaar is", stelt Cluley. De virusscanner zou elk uur op nieuwe updates controleren. Gebruikers die niet willen wachten kunnen via de 'Update now' functie op nieuwe updates controleren.
Doelwit
Volgens Chris Evans, hoofd van het Google Chrome Security Team en een collega van Ormandy, is het een groot probleem wat de onderzoeker heeft ontdekt. "Het laat zien hoe je geld betaalt om minder veilig te worden."
Daarbij is het onderzoek van Ormandy een belangrijke boodschap voor anti-virusbedrijven. "Het vinden van zero-day lekken in browsers wordt steeds moeilijker. Waarom zou iemand die moeite doen, als de meestal meer kwetsbare virusscanner de browser kaapt?", gaat Evans op Twitter verder.
Virusscanners nestelen zich meestal op zo'n manier in het systeem dat ze controle over andere programma's zoals de webbrowser hebben. Door het hacken van de virusscanner krijgt een aanvaller daardoor allerlei mogelijkheden.
Als er iets mis is met de software of de update server, heeft software met root rechten vrij spel (root staat nog boven het administrator account en kan vrij alle accounts aanpassen, tenzij een bepaald account versleuteld is met filevault).
Dan zal deze apart met wachtwoord geopend dienen te worden, tenzij je het wachtwoord weer in je keychain hebt opgeslagen en deze automatisch het wachtwoord mag invullen (zelf nog niet getest onder root account).
Mocht je de scanner geïnstalleerd hebben, kijk maar eens onder het Activity Monitor programma op je Mac (alle processen).
Ook aardig om de Activity Monitor te openen als je het kleurenwieltje regelmatig ziet spinnen, zul je waarschijnlijk zien dat intercheck andere processen tijdelijk blokkeert omdat het zeer druk bezig is met scannen.
Rechten
root : SophosAutoUpdate
root : SophosAntiVirus
root : InterCheck
lokale user account : SophosUIServer
Vergelijk de rechten eens als je een andere scanner draait.
Zie verder een eerdere kritische analyse van Tavis Ormandy (en de reactie daarop op het eigen blog).
"Sophail" : A Critical Analysis of Sophos Antivirus (Tavis Ormandy, 2011)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.