Google Project Zero Teamの研究者は、ブログでSymantec Endpoint Protectionのウイルス対策エンジンに含まれるセキュリティエラーの詳細な分析を公開しました 。 専門家によると、この製品には多くの重大な脆弱性が含まれており、その一部はリモートコード実行またはリモートカーネルメモリ破損につながる可能性があります。
問題は何ですか
Google Project Zeroの研究者は、CVE-2016-2208の脆弱性情報を公開しています。 専門家によると、このエラーは、シマンテックの開発者が使用するアンパックパッケージ化された実行可能ファイルの不正な操作にあります。
見つかった脆弱性はバッファオーバーフローエラーに関連しており、操作が成功した結果、リモートでコードが実行される可能性があります。 シマンテックのウイルス対策エンジンは「アンパッカー」をカーネルで直接実行するため、高いシステム権限でコードが実行される可能性があります。 Googleブログの投稿者Tavis Ormandyは、ウイルス対策プログラムに次のコードを実行させることができました。
char *buf = malloc(SizeOfImage); memcpy(&buf[DataSection->VirtualAddress], DataSection->PointerToRawData, SectionSizeOnDisk);
Omandiは、この脆弱性を使用してエクスプロイトを作成しました。 専門家は、攻撃者がファイルをアクティブにするために犠牲者に何らかの方法でファイルを操作させる必要さえないことに注意します-メールで送信するか、ハイパーリンクを作成して、ウイルス対策プログラムでスキャンするようにします。
したがって、この脆弱性は深刻な脅威となります。その助けにより、サイバー犯罪者は大企業でも企業システムをリモートから攻撃することができます。
さらに、シマンテックのウイルス対策製品は、PowerPointファイルの処理に使用するI / O抽象化レイヤーを実装しています。 このメカニズムには、攻撃者がバッファオーバーフローを引き起こす可能性があるエラーが含まれています。 ただし、この攻撃方法の適用範囲は、アンチウイルスが「Bloodhound Heuristics」モードで動作する場合に限られます。 Ormandyは、このバグを使用したエクスプロイトへのリンクを投稿しました。
Googleの研究者は、シマンテックの開発者がlibmspackやunrarsrcなどのオープンソースライブラリを使用したが、少なくとも7年間はコードを更新しなかったことに注意しています。
どの食品が脆弱ですか?
シマンテックは、SymantecおよびNortonブランドで販売されているウイルス対策製品の全ラインに同じエンジンを使用しています。 脆弱な製品には次のものがあります。
- ノートンセキュリティ、ノートン360、その他のノートン製品はすべてのプラットフォーム向けのレガシー製品です。
- Symantec Endpoint Protection(すべてのバージョンとプラットフォーム);
- Symantec Email Security(すべてのプラットフォーム);
- Symantec Protection Engine(すべてのプラットフォーム);
- Symantec Protection for SharePointサーバー
- 等
これらの製品の一部は自動的に更新できないため、ユーザーと管理者はシステムを保護するためのアクションを実行する必要があります。 シマンテックは、Webサイトで推奨事項を公開しています。
詳細に説明されているCVE-2016-2208の脆弱性に加えて、Googleの研究者は、バッファオーバーフロー、メモリ破損、その他の問題を引き起こす可能性のある他の重大なセキュリティエラーを発見しました。
自分を守る方法
保護ツールのセキュリティに関連する起こりうる問題を防ぐために、Positive Technologiesの専門家は、機能を維持しながら、そのようなソリューションを他のシステムから分離するツールを使用することを推奨します。 たとえば、この問題を解決するには、 PT MultiScannerマルウェアおよびリンク検出システムができます。
ブログの前半で、一般的なウイルス対策プログラムでの脆弱性検出の既知の事例の概要を含む記事を公開しました 。
たとえば、Symantec Endpoint Protectionの深刻な脆弱性を最初に発見したのは研究者ではありません。 以前は、セキュリティスペシャリストは、攻撃者が認証、権限昇格、ファイルの読み取りと書き込み、およびSQLインジェクションをバイパスすることを可能にする重大なエラーを検出できました。
他のアンチウイルスソリューションもこのような問題を回避しませんでした。 そのため、2016年2月上旬、同じ研究者Tavis Ormandyが、ウイルス対策製品Malwarebytesに重大な脆弱性を発見しました。 Malwarebytes Antivirusの更新は、会社によってデジタル署名されておらず、安全でないHTTP接続を介してダウンロードされたため、ユーザーはMiTM攻撃に対して脆弱になりました。 2016年4月、TrendMicroアンチウイルスの重大な脆弱性に関する情報が公開され、攻撃者がリモートでコードを実行できるようになりました。
2015年の初めに、Google Project Zeroの研究者はESET NOD32ウイルス対策の深刻な脆弱性について話しました。これにより、攻撃者はウイルス対策がインストールされているコンピューター上のファイルを読み取り、変更、削除できます。
同じ年に、 TrueCrypt cryptosoftおよびAvastアンチウイルスに重大な脆弱性が見つかりました。BitDefenderアンチウイルス会社は、平文で保存されたユーザーパスワードの盗難をもたらすハッカー攻撃の被害者でした。