image

Vandaag patch voor ernstig lek in Sophos anti-virus

dinsdag 6 november 2012, 17:41 door Redactie, 1 reacties

Het Britse anti-virusbedrijf Sophos zegt dat vandaag alle gebruikers beschermd zullen zijn tegen een beveiligingslek waardoor aanvallers het onderliggende systeem kunnen overnemen. Beveiligingsonderzoeker en Google-medewerker Tavis Ormandy ontdekte verschillende ernstige kwetsbaarheden in de beveiligingssoftware. Door gebruikers een bestand te laten downloaden of een e-mail te sturen, is het mogelijk om willekeurige code op het systeem uit te voeren.

Hiervoor is geen of nauwelijks interactie vereist, aangezien de scanner automatisch bestanden, links of inkomende e-mails scant. Ormandy gaf Sophos twee maanden de tijd om de problemen op te lossen. Toen de onderzoeker gisteren zijn bevindingen openbaarde, bleek dat Sophos een aantal kwetsbaarheden al had verholpen.

Voor een ander lek, dat ontstaat bij het scannen van PDF-bestanden, werd gisteren begonnen met het uitrollen van een update onder klanten. In de reactie van Sophos was echter niet aangegeven hoe consumenten kunnen weten dat ze over de meest recente versie beschikken. De virusscanner is wereldwijd op zeker honderdduizenden Macs geïnstalleerd.

Patch
"Voor het einde van de dag zou de update onder alle klanten moeten zijn uitgerold", zegt Graham Cluley van Sophos tegen Security.nl. De update was gisteren namelijk nog niet voor alle Mac-gebruikers beschikbaar. De versie waar Ormandy het probleem in ontdekte heeft als versienummer 8.0.6c. Voor deze versie publiceerde de onderzoeker ook een werkende exploit. Na het installeren van de beveiligingsupdate is het versienummer veranderd in 8.0.8c met als engine-versie 3.37.10.

"Gebruikers van onze gratis Mac anti-virus hoeven niets te doen, aangezien ze automatisch worden geüpdatet als de update beschikbaar is", stelt Cluley. De virusscanner zou elk uur op nieuwe updates controleren. Gebruikers die niet willen wachten kunnen via de 'Update now' functie op nieuwe updates controleren.

Doelwit
Volgens Chris Evans, hoofd van het Google Chrome Security Team en een collega van Ormandy, is het een groot probleem wat de onderzoeker heeft ontdekt. "Het laat zien hoe je geld betaalt om minder veilig te worden."

Daarbij is het onderzoek van Ormandy een belangrijke boodschap voor anti-virusbedrijven. "Het vinden van zero-day lekken in browsers wordt steeds moeilijker. Waarom zou iemand die moeite doen, als de meestal meer kwetsbare virusscanner de browser kaapt?", gaat Evans op Twitter verder.

Virusscanners nestelen zich meestal op zo'n manier in het systeem dat ze controle over andere programma's zoals de webbrowser hebben. Door het hacken van de virusscanner krijgt een aanvaller daardoor allerlei mogelijkheden.

Reacties (1)
06-11-2012, 19:53 door Anoniem
Probleem is misschien dat de scanner zich standaard wat veel rechten toe eigent.

Als er iets mis is met de software of de update server, heeft software met root rechten vrij spel (root staat nog boven het administrator account en kan vrij alle accounts aanpassen, tenzij een bepaald account versleuteld is met filevault).
Dan zal deze apart met wachtwoord geopend dienen te worden, tenzij je het wachtwoord weer in je keychain hebt opgeslagen en deze automatisch het wachtwoord mag invullen (zelf nog niet getest onder root account).

Mocht je de scanner geïnstalleerd hebben, kijk maar eens onder het Activity Monitor programma op je Mac (alle processen).
Ook aardig om de Activity Monitor te openen als je het kleurenwieltje regelmatig ziet spinnen, zul je waarschijnlijk zien dat intercheck andere processen tijdelijk blokkeert omdat het zeer druk bezig is met scannen.

Rechten

root : SophosAutoUpdate
root : SophosAntiVirus
root : InterCheck
lokale user account : SophosUIServer

Vergelijk de rechten eens als je een andere scanner draait.

Zie verder een eerdere kritische analyse van Tavis Ormandy (en de reactie daarop op het eigen blog).

"Sophail" : A Critical Analysis of Sophos Antivirus (Tavis Ormandy, 2011)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.