Ο Tavis Ormandy, ένας ερευνητής ασφάλειας που εργάζεται στο Project Zero της Google, ανακάλυψε και βοήθησε τη Symantec να διορθώσει ένα σοβαρό ζήτημα ασφάλειας που επηρέαζε το Symantec Antivirus Engine και τον πυρήνα πολλών από τα προϊόντα ασφαλείας της εν λόγω εταιρείας.
Ο Ormandy εξηγεί ότι, σε ορισμένες περιπτώσεις, όταν συγκεκριμένοι τύποι δεδομένων φτάνουν το Antivirus Engine Symantec (SAE), το προϊόν χειρίζεται αυτά τα αρχεία με μη ασφαλή τρόπο που οδηγεί σε ένα buffer overflow.
«Όταν εκτελέσιμα parsing εισάγονται σε μια πρώιμη εκδοχή του aspack, μια buffer υπερχείλιση μπορεί να συμβεί στον πυρήνα του Symantec Antivirus Engine που χρησιμοποιείται στα περισσότερα Symantec και Norton Antivirus προϊόντα», λέει ο Ormandy. «Το πρόβλημα παρουσιάζεται όταν ένα τμήμα δεδομένων έχει κοπεί, δηλαδή, όταν το SizeOfRawData είναι μεγαλύτερο από το SizeOfImage.»
Αυτό κρασάρει τον μηχανισμό ασφαλείας με έναν μη τυποποιημένο τρόπο, με αποτέλεσμα στη συνέχεια να χορηγεί root προνόμια στον εισβολέα δίνοντάς του τη δυνατότητα να εκτελέσει κώδικα στον υπολογιστή. Το θέμα της ασφάλειας, που φέρει το αναγνωριστικό CVE-2016-2208, επηρεάζει όλα τα λειτουργικά συστήματα: Mac, Linux και Windows.
Ο Ormandy λέει το ζήτημα μπορεί να αξιοποιηθεί με πολύ απλό τρόπο. Επειδή το ελάττωμα έγκειται στον ίδιο τον μηχανισμό ανίχνευσης, ο οποίος ανοίγει και διαβάζει ΟΠΟΙΟΔΗΠΟΤΕ αρχείο, και όχι μόνο εκείνο που επέλεξε ο χρήστης για σάρωση, ο απατεώνας μπορεί απλά να στείλει ένα πακέτο exploit μέσω e-mail ή ένα link που να συνδέει σε ένα exploit στο Web.
Ο μηχανισμός θα σαρώσει το περιεχόμενο του αυτόματα και θα θέσει σε κίνδυνο το μηχάνημα του χρήστη, χωρίς να απαιτείται η αλληλεπίδραση του χρήστη.
Σε Windows υπολογιστές, ο Ormandy λέει ότι αυτό αποτελεί ακόμη περισσότερο ένα θέμα, μιας και η μηχανή σάρωσης τρέχει κατευθείαν στον πυρήνα των Windows.
Η αξιοποίηση αυτού του σφάλματος στα Windows οδηγεί στη καταστροφή του Ring 0 του πυρήνα, το επίπεδο του λειτουργικού συστήματος με τα περισσότερα προνόμια που αλληλεπιδρά πιο άμεσα με το φυσικό hardware, όπως τη CPU και τη μνήμη. Αυτό οδηγεί σε μια κατάσταση «kernel panic», η οποία μερικές φορές μπορεί να οδηγήσει σε μια BSOD (Blue Screen of Death-Μπλε Οθόνη).
Η CVE-2016-2208 επηρεάζει τα προϊόντα της εταιρείας, όπως τα Symantec Endpoint Antivirus, Norton Antivirus, Symantec Scan Engine και Symantec Email Security. Ο Ormandy υποστηρίζει ότι, θεωρητικά, το σφάλμα επηρεάσει και οποιοδήποτε άλλο προϊόν, όπου η Symantec χρησιμοποίησε το SAE.
Ο ερευνητής αποκάλυψε το πρόβλημα στη Symantec και η εταιρεία έβγαλε ένα patch που οι πελάτες μπορούν να κατεβάσετε και να εφαρμόσουν στο λογισμικό τους.
