Ο Tavis Ormandy, μέλος του έργου Project Zero της Google, έχει ανακαλύψει μια σειρά ευπαθειών στα προϊόντα ασφάλειας της Symantec. Λόγω της φύσης των εν λόγω ελαττωμάτων, επηρεάζουν έναν μεγάλο αριθμό Symantec προϊόντων και δεν μπορούν όλα να επιδιορθωθούν μέσω αυτόματων ενημερώσεων.

“Αυτές οι ευπάθειες είναι όσο κακές μπορούν να είναι”, γράφει ο Ormandy στο blog της Google. “Δεν απαιτούν καμία αλληλεπίδραση με το χρήστη, επηρεάζουν τις προεπιλεγμένες ρυθμίσεις και το λογισμικό τρέχει με τα υψηλότερα δυνατά επίπεδα δικαιωμάτων. Σε ορισμένες περιπτώσεις στα Windows, ο ευάλωτος κώδικας φορτώνεται στον πυρήνα, με αποτέλεσμα να οδηγεί σε απομακρυσμένη καταστροφή της μνήμης του πυρήνα.”

Ο ευάλωτος κώδικας στον οποίο αναφέρεται ο Ormandy, είναι μέρος του ASPack, ενός εμπορικού κομματιού λογισμικού που χρησιμοποιεί η Symantec για να αναλύσει τα αρχεία που σαρώνονται για κακόβουλο λογισμικό.

Ο Ormandy λέει ότι το λάθος της εταιρείας ήταν το ότι έτρεξε αυτό το στοιχείο στον πυρήνα του λειτουργικού συστήματος, με τα υψηλότερα διαθέσιμα δικαιώματα. Μια ευπάθεια στο στοιχείο αυτό δίνει στον εισβολέα ένα χρυσό εισιτήριο για τον πλήρη έλεγχο του συστήματος, χωρίς να δημιουργείται η ανάγκη για ένα second-stage exploit για να κλιμακώσει την πρόσβασή του.

Εκτός από αυτό το κύριο ζήτημα, CVE-2016-2208, ο ερευνητής υποστηρίζει ότι βρήκε και πολλαπλές stack buffer overflows και memory corruption θέματα.

Ο ερευνητής ανακάλυψε, επίσης, ότι η Symantec είχε χρησιμοποιήσει open source βιβλιοθήκες στα προϊόντα της, όπως οι libmspack και unrarsrc, αλλά ξέχασε να τις ενημερώσει για τα τελευταία επτά χρόνια. Ένας εισβολέας θα χρειαζόταν μόνο να εργαστεί πάνω σε ένα από αυτά τα δημοσίως γνωστά ζητήματα.

Η εκμετάλλευση ορισμένων από αυτά τα θέματα είναι ασήμαντη, σύμφωνα με τον Ormandy, ο οποίος λέει ότι κάποια δεν απαιτούν αλληλεπίδραση του χρήστη και κάποια άλλα είναι wormable, δηλαδή να είναι σε θέση να εξαπλωθούν και σε άλλες κοντινές συσκευές από μόνα τους.

Ένας εισβολέας θα πρέπει μόνο να στείλει ένα email στον στόχο, το οποίο θα περιέχει ένα κακόβουλο αρχείο που εκμεταλλεύεται ένα από αυτά τα θέματα. Επιπλέον, ο εισβολέας θα μπορούσε να φιλοξενήσει τον exploit κώδικα online και να ενσωματώσει έναν σύνδεσμο με το κακόβουλο URL μέσα στο μήνυμα ηλεκτρονικού ταχυδρομείου.

Η λίστα των επηρεαζόμενων προϊόντων περιλαμβάνει ένα μεγάλο αριθμό των παλαιότερων Norton προϊόντων, Symantec Endpoint Protection, Symantec Email Security, Symantec Protection Engine, Symantec Protection for SharePoint Servers και πολλά άλλα. Σε όλες τις περιπτώσεις, οι ευπάθειες μπορούν να χρησιμοποιηθούν σε πολλές συσκευές (cross-platform). Η εν λόγω εταιρεία έχει κυκλοφορήσει patches για όλα τα επηρεαζόμενα προϊόντα.

Το Μάιο, ο Ormandy είχε βοήθησε και πάλι την εταιρεία να διορθώσει μια άλλη τρύπα ασφαλείας για το προϊόν της. Εκτός από τη Symantec, στο παρελθόν, ο ερευνητής είχε βρει bugs και στο λογισμικό πωλητών ασφάλειας, όπως οι FireEye, ESET, Kaspersky, Bromium, Trend Micro, Comodo, Malwarebytes, Avast και AVG.ς