LINUX.ORG.RU

Показательные критические уязвимости в продуктах Symantec и Norton

 ,


2

2

Исследователи безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, продемонстрировали, что источником вторжения в инфраструктуру предприятия могут быть программные продукты предназначенные для защиты этой инфраструктуры. В 25 продуктах, связанных с обеспечением безопасности, выпускаемых под брендами Symantec и Norton, выявлено несколько критических уязвимостей, которые позволяют получить полный контроль над системой при выполнении проверки специально оформленного файла, без совершения каких-либо действий со стороны пользователя и проявляясь в конфигурации по умолчанию.

Проблемы затрагивают не только Windows, но и Linux. Проблемы присутствуют в коде распаковки исполняемых файлов, сжатых такими инструментами, как UPX и ASPack, а также в функциях разбора документов PowerPoint и Microsoft Office. Функции распаковки выполняются в основном движке системы защиты, работающем на уровне ядра в Windows и в форме привилегированного процесса в Linux (продукт запускается с правами root), без применения механизмов изоляции от остальной системы.

Примечательно, что изучение методов распаковки показало, что код некоторых распаковщиков заимствован из открытых библиотек, таких как libmspack и unrarsrc. При этом данный код не синхронизировался с оригинальными библиотеками уже 7 лет и содержит все устранённые в них за это время уязвимости. Libmspack распространяется под лицензией GPLv2, поэтому ещё не раскрытым остаётся вопрос возможного нарушения лицензии GPL.

Так как в продуктах Symantec применяется драйвер фильтрации, перехватывающий весь ввод/вывод, то для атаки достаточно отправить по электронной почте специально оформленный файл или отправить ссылку на эксплоит (пользователю не нужно открывать файл и ссылку, ПО для защиты само проанализирует контент). Так как проведение атаки не требует действий со стороны пользователя уязвимости могут быть использованы для создания червей, атакующих другие системы во внутренней сети.

Источник

>>> Подробности

★★★★★

Проверено: Klymedy ()
Последнее исправление: Klymedy (всего исправлений: 1)

Объясните мне, зачем вообще используются такие приёмы, как UPX? Вместо того, чтобы просто mmap'нуть образ в память и позволить ОС выгружать/загружать его части в RAM по мере необходимости мы удваиваем использование памяти и замедляем запуск программы? Это же идиотизм.

legolegs ★★★★★
()
Ответ на: комментарий от legolegs

Ну может быть. Но тут-то это оффтопик в таком разе.

trueshell ★★★★★
()
Ответ на: комментарий от legolegs

Объясните мне, зачем вообще используются такие приёмы, как UPX?

Чтобы исполняемый файл занимал меньше места.

Вместо того, чтобы просто mmap'нуть образ в память и позволить ОС выгружать/загружать его части в RAM по мере необходимости мы удваиваем использование памяти и замедляем запуск программы?

Смотря как реализовано. Не обязательно должно быть так.

Вообще сейчас UPX редко используется. Это раньше было популярно, во времена флопиков и 56Кб интернета.

Legioner ★★★★★
()
Ответ на: комментарий от legolegs

Объясните мне, зачем вообще используются такие приёмы, как UPX?

Чтобы юзеры не переживали из-за большого размера программы в установленном виде, ничего более.

annulen ★★★★★
()

Окропление святой водою и то даст больше защиты.

anonymous
()

Объясните мне, зачем вообще используются такие приёмы, как UPX?

Любой пакер - это ишо и антитампер. Не денуво конечно, вручную разломан давно и многократно, но против скрипткиддисов самое оно.

TooPar
()
Ответ на: комментарий от Pythagoras

У него тоже находили дыры в эмуле.
ЕМНИП, не находили (дыр в эмуляторе) только у тех, у кого его вообще нет.

Kuzz ★★★
()
Ответ на: комментарий от legolegs

Объясните мне, зачем вообще используются такие приёмы, как UPX?

Щито??? Объясните мне зачем архиваторы нужны....

dmxrand
()

Это глупость или измена? Какое-то эпичное решето. Я про исполнение в ядре или с правами root. Вот нафига?

MrClon ★★★★★
()

Вот это вкуснота! Отлично иллюстрирует ситуацию с виндовым подходом к безопасности и проприетарщиной в целом.

Axon ★★★★★
()
Ответ на: комментарий от MrClon

Ну как бы это принцип работы антивируса - в режиме ядра пропускать через себя все открываемые файлы. Другое дело, что в опенсорце принято рутовую часть делать маленькой и простой, чтобы не обосраться, но в мире проприетарщины маленькое и простое не в почёте.

legolegs ★★★★★
()
Ответ на: комментарий от anonymous

проприетарщина здесь ни к чему

Проприетарщина здесь ко всему. Если бы кто-то попытался продвинуть решение по защите от угроз с открытым кодом подобного качества, всё опенсорц сообщество бы в очередь выстроилось чтобы ему пенисом по губам поводить. А проприетарщина - норм, кушают и просят ещё. Ignorance is bliss.

Axon ★★★★★
()
Последнее исправление: Axon (всего исправлений: 1)
Ответ на: комментарий от legolegs

Ну как бы это принцип работы антивируса - в режиме ядра пропускать через себя все открываемые файлы.

Про песочницы месье не слышал, да?

Axon ★★★★★
()
Ответ на: комментарий от legolegs

А зачем в режиме ядра? И ведь тут нечь не о запускаемых в данный момент файлах, а просто о файлах попадающих на компьютер. В общем об обычном сканировании на вирусы.

MrClon ★★★★★
()
Ответ на: комментарий от Axon

да да, дыр в опенсорц линуксе не меньше, но разговор о закрытом продукте, в который какие то делетанты втянули кусок кода не понимая что к чему, поэтому говорим о том что в ИБ нельзя брать кого попало с банальными знаниями кодерства(вчерашние студенты к примеру), а именно таких и берут многие АВ компании

anonymous
()

Symantec и Norton

Дуршлаг!!!

anonymous
()

продукт запускается с правами root

ну и о чем тут можно говорить? Ясное дело, что это уже источник опасности

cvs-255 ★★★★★
()

От тех же ребят, но теперь про ШГ

anonymous
()
Ответ на: комментарий от mittorn

если там правда нарушена GPL, то это EPIC FAIL

Если мне не изменяет память, в старых версиях libmspack использовалась лицензия, которая разрешала статическую линковку с проприетарным софтом. Может быть что-то изменилось и именно поэтому перестали синхронизировать код?

ssvb
()
Ответ на: комментарий от MrClon

Потому что On access scan и on demand scan использует 1 сканер и смысла пилить сканер отдельно для usermode и kernelmode нет. Для on Access нужны перехватчики уровня ядра, но все равно не понятно зачем распаковщики в kernelmode тащить.

anonymous
()

симантек троян едишн

af5 ★★★★★
()
Ответ на: комментарий от anonymous

да да, дыр в опенсорц линуксе не меньше, но разговор о закрытом продукте, в который какие то делетанты втянули кусок кода не понимая что к чему, поэтому говорим о том что в ИБ нельзя брать кого попало с банальными знаниями кодерства(вчерашние студенты к примеру), а именно таких и берут многие АВ компании

Это сообщение жалкая попытка анонима оправдать проприетарщину.

В опенсорце дыры «другого типа» и встречаются они редко, по сравнению проприетарщиной. В проприетарщине «критических» уязвимостей и заодно некачественного кода намного больше.

А вы знаете, что в службе поддержки Майкрософта работают студенты-гастарбайтеры из Юго-Восточной Азии?

anonymous
()
Ответ на: комментарий от DeadEye

А может у них как раз отверстия не накладываются.

dogbert ★★★★★
()

А вообще, Symantec — давно гнилая контора.

dogbert ★★★★★
()

комментарии на опеннете отжигают.

darkenshvein ★★★★★
()

для атаки достаточно отправить по электронной почте специально оформленный файл или отправить ссылку на эксплоит (пользователю не нужно открывать файл и ссылку, ПО для защиты само проанализирует контент)

Т.е. можно недругу на мобильном интернете (или кому-нибудь с платным трафиком) отправить письмо с кучей ссылок на тяжелые файлы... и антивирус ему выжрет весь трафик без его ведома?

RiseOfDeath ★★★★
()
Последнее исправление: RiseOfDeath (всего исправлений: 1)

Люди уже лет 10 говорят, что от антивируса в среднем больше вреда, чем от самой малвари.

ptarh ★★★★★
()
Ответ на: комментарий от MrClon

Это глупость или измена?

Это бекдор под видом случайно оставленной уязвимости.
Symantec долгое время был лидером по продажам (как сейчас - хз), так что «затроянено» очень много систем)

Kuzz ★★★
()
Ответ на: комментарий от Promusik

Ну если дыхание изо рта у антилоп жаркое, то да.

templarrr ★★★★★
()

решето, решето, а где нет дыр в коде? совершенной защиты никогда не было и не будет, это называется эскалацией, на любую дубину найдется дубина побольше.

Dead_Mozay
()
Ответ на: комментарий от ssvb

Тогда всё понятно.
Не ожидал вас тут увидеть.

mittorn ★★★★★
()
Ответ на: комментарий от Ygor

епично. епичнее сложно что либо вспомнить.

я бы сказал, цинично

kto_tama ★★★★★
()

А ваще - ну пускай проприетарщина будет дырявой. Буржуи клепают функции чтобы просто их отдать населению. А то что их поделия потом надо в клетке Фарадея запускать - фигня вопрос, поверьте

TooPar
()

Эпичное

Решето

Satou ★★★★
()
Ответ на: комментарий от Erfahren

Симантек был не торт изначально.

Их поделками можно пользоваться от слова «никак». AFAIK, именно это и послужило причиной, почему они решили попилиться на 2 компании. НедоИБ-убожества оставили под брендом Symantec, бэкапы - Veritas.

CaveRat ★★
()
Ответ на: комментарий от anonymous

но все равно не понятно зачем распаковщики в kernelmode тащить

Примерно об этом я и говорю. Зачем выносить в ведро всю обработку? Оставить там маленький код отлавливающий события и запускающий юзерспейсовый обработчик.
Хотя возможно разрабы убоялись обильных переключений контекста или иных траблов с производительностью?

MrClon ★★★★★
()
Ответ на: комментарий от Axon

Да-да, сообщество... Ипать вы наивный, сударь :)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.