Onderzoeker vindt ernstig worm-lek in Sophos anti-virus
De beveiligingsonderzoeker en Google-medewerker Tavis Ormandy heeft wederom ernstige beveiligingsproblemen in de virusscanner van het Britse Sophos ontdekt, onder andere een manier waardoor een worm zich kan verspreiden. Na een onderzoek vorig jaar heeft Ormandy nu een rapport gepubliceerd genaamd 'Practical Attacks against Sophos Antivirus', waarbij praktische aanvallen tegen de virusscanner centraal staan.
In het nieuwste rapport met de bestandsnaam Sophailv2 staat een werkende remote root exploit waar geen enkele interactie is vereist. Zodra de virusscanner een bestand scant, dat bijvoorbeeld per e-mail is verstuurd, wordt de exploit uitgevoerd.
Volgens Ormandy zou het lek binnen een paar dagen door een worm zijn te misbruiken. Hij adviseert systeembeheerders die de software van Sophos beheren om de adviezen op te volgen. Ook doet de onderzoeker andere aanbevelingen om de schade "veroorzaakt door Sophos' te beperken.
Exploit
In het rapport staat een werkende exploit voor Sophos 8.0.6c op de Mac. Dit is de gratis versie die door honderdduizenden Mac-gebruikers is geïnstalleerd. Ormandy merkt op dat de in de exploit gebruikte techniek ook eenvoudig naar Windows en Linux is over te zetten. "Vanwege verschillende ernstige implementatiefouten zoals beschreven in het rapport."
Ormandy is keihard in zijn kritiek over de virusscanners. "Het installeren van Sophos Antivirus stelt machines bloot aan behoorlijk risico. Als Sophos niet snel hun beveiligingspostuur verbetert, betekent dit een risico voor wereldwijde netwerken en infrastructuur."
Oplossing
Sophos zou een aantal zaken uit het rapport hebben opgepakt. "Maar ze waren duidelijk slecht uitgerust om de output van één meewerkende, niet-vijandige beveiligingsonderzoeker aan te kunnen. Een geraffineerde door een staat gesponsorde of zeer gemotiveerde aanvaller zou de volledige Sophos-gebruikersgroep met eenvoud kunnen vernietigen."
De producten van Sophos zouden volgens het bedrijf zelf door de gezondheidszorg, overheid, banken en zelfs het leger worden gebruikt. "De chaos die een aanvaller kan veroorzaken aan deze systemen is een realistische globale dreiging." De onderzoeker adviseert Sophos-producten dan ook voor alleen onbelangrijke systemen.
Ormandy zou de exploit al sinds september in zijn bezit hebben, maar kreeg van Sophos het verzoek om twee maanden te verwachten, zodat het anti-virusbedrijf een oplossing kon ontwikkelen. Volgens de onderzoeker komt Sophos vandaag met een eigen advies voor klanten, maar die heeft hij niet in kunnen zien.
Update 17:30
Sophos heeft inmiddels via een blogposting een reactie online gezet waarin het laat weten dat de gevaarlijkste beveiligingslekken in de virusscanner zijn verholpen. Voor verschillende andere problemen verschijnt vandaag een update.
Ormandy zou onlangs ook nog andere kwetsbaarheden hebben ontdekt die de virusscanner kunnen laten stoppen met werken. Deze problemen worden op 28 november gepatcht.
Het anti-virusbedrijf gaat echter nergens in op de kritiek van Ormandy dat er fundamentele problemen met het product zijn. Ook probeert Sophos het probleem te bagatelliseren door in dik gedrukte letters te laten weten dat het geen bewijs heeft gevonden dat er exploits voor de door Ormandy gevonden problemen in het wild zijn gebruikt.
Nou ja zeg....
>>De producten van Sophos zouden volgens het bedrijf zelf door de gezondheidszorg, overheid, banken en zelfs het leger worden gebruikt. De onderzoeker adviseert Sophos-producten dan ook voor alleen onbelangrijke systemen. <<
Ja das even lekker zeg?? Alle systemen zijn toch belangrijk.
iemand enige idee of het beter is Sophos er Tijdelijk af te gooien ?
http://nakedsecurity.sophos.com/2010/06/11/google-engineer-act-irresponsibly-microsoft-zeroday-disclosure/
http://nakedsecurity.sophos.com/2010/06/15/tavis-ormandy-pleased-website-exploits-microsoft-zeroday/
Tavis wil geen antwoord geven op de vraag waarom hij precies de exploit had gepubliceerd en wat er precies mis was gegaan tussen hem en Microsoft:
http://seclists.org/fulldisclosure/2010/Jun/237
https://twitter.com/taviso/statuses/18463511698
De exploit dook vrij kort daarna op in exploit kits als BlackHole. Volgens Tavis is het onmogelijk om te weten of dit wel door hem komt omdat er nog geen signatures waren voor de bug en er een kans was dat iemand anders dezelfde bug had gevonden. Na het kritiek van Sophos op de werkwijze van Tavis, heeft Tavis een rapport gepubliceerd waarin Sophos niet goed uit kwam: http://lock.cmpxchg8b.com/Sophail.pdf. Een groot deel van de kritiek op Sophos in het eerste artikel is echter ook van toepassing op andere AV vendors, maar Tavis benoemt alleen Sophos en moedigt mensen zelfs aan om geen software van Sophos te gebruiken.
Nu heeft Tavis een remote code exec bug gevonden en raadt mensen wederom af Sophos te gebruiken:
"The author is often asked what he recommends existing Sophos users migrate to. The author currently recommends
Parity Suite, from Bit9 software7, an easily defensible solution"
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
