Wormbare gebreken in Symantec-producten stellen miljoenen computers bloot aan hacking

Een beveiligingsonderzoeker van Google heeft zeer ernstige kwetsbaarheden in bedrijfs- en consumentenproducten van antivirus-leverancier Symantec gevonden die gemakkelijk kunnen worden misbruikt door hackers om de controle over computers over te nemen.

Symantec heeft patches uitgebracht voor de getroffen producten, maar hoewel sommige producten automatisch werden bijgewerkt, kan het nodig zijn dat voor sommige getroffen producten van het bedrijf handmatige tussenkomst nodig is.

De gebreken zijn gevonden door Tavis Ormandy, een onderzoeker bij het Project Zero-team van Google die vergelijkbare kwetsbaarheden heeft gevonden in antivirusproducten van andere leveranciers. Ze benadrukken de slechte staat van softwarebeveiliging in de antiviruswereld, iets dat door onderzoekers is opgemerkt.

De meeste nieuwe gebreken die Ormandy heeft gevonden, zitten in de Decomposer-component van de Symantec-antivirusengine. Dit onderdeel verwerkt het parseren van verschillende bestandsindelingen, waaronder archiefbestanden zoals RAR en ZIP. Bovendien draait de Decomposer onder de systeemgebruiker, het meest bevoorrechte account op Windows-systemen.

Symantec reageerde niet direct op een verzoek om opmerkingen over de kwetsbaarheden.

Beveiligingsonderzoekers hebben vaak antivirusleveranciers bekritiseerd voor het uitvoeren van risicovolle bewerkingen zoals het parseren van bestanden met onnodig verhoogde rechten. Historisch gezien waren dergelijke bewerkingen een bron van veel kwetsbaarheden in de uitvoering van willekeurige code in allerlei toepassingen.

Ormandy heeft kwetsbaarheden gevonden in de Symantec-code die wordt gebruikt om ZIP-, RAR-, LZH-, LHA-, CAB-, MIME-, TNEF- en PPT-bestanden te verwerken. De meeste van deze tekortkomingen kunnen leiden tot uitvoering van externe code en zijn wormbaar, wat betekent dat ze kunnen worden gebruikt om computerwormen te maken.

"Omdat Symantec een filterstuurprogramma gebruikt om alle systeem-I / O [invoer / uitvoerbewerkingen] te onderscheppen, volstaat het om een ​​bestand naar een slachtoffer te e-mailen of een link naar een exploit te sturen om het te activeren - het slachtoffer hoeft niet te openen het bestand of er hoe dan ook interactie mee hebben, 'zei Ormandy in een blogpost.

Nog verrassender is het feit dat Symantec code lijkt te hebben gebruikt van open source-bibliotheken, maar patches die door die projecten zijn uitgebracht in de loop van de jaren niet heeft geïmporteerd.

Zo stelde Ormandy vast dat Symantec-producten versie 4.1.4 gebruikten van een open-source unrar-pakket dat in januari 2012 werd uitgebracht. De meest recente versie van die code is 5.3.11. Een vergelijkbare situatie werd ook waargenomen voor een andere bibliotheek, libmspack genaamd.

"Tientallen openbare kwetsbaarheden in deze bibliotheken hadden gevolgen voor Symantec, sommige met publieke exploits", zei Ormandy. "We hebben enkele voorbeelden naar Symantec gestuurd, en zij hebben geverifieerd dat ze bij de release waren achtergebleven."

Het niet bijhouden van kwetsbaarheden die zijn gepatcht in de code van derden die door softwareleveranciers en ontwikkelaars wordt gebruikt in hun eigen projecten, is een wijdverbreid probleem. Er is echter een natuurlijke verwachting dat beveiligingsleveranciers die fout niet zouden maken. Ze prediken immers vaak veilige softwareontwikkeling en kwetsbaarheidsbeheer aan anderen.

Helaas, "als we kijken naar hoe zelfs een kolos van een leverancier van beveiligingsproducten zoals Symantec oude code in hun producten bundelt, heeft hij deze code duidelijk niet onderworpen aan beveiligingsbeoordelingen en -tests, en als klap op de vuurpijl voert deze oude, onveilige code uit met SYSTEEM / rootprivileges, het is duidelijk dat leveranciers van beveiliging zichzelf niet aan zeer hoge normen houden, "zei Carsten Eiram, de hoofdonderzoeker van het beveiligingsbedrijf voor kwetsbaarheden, Risk Based Security, per e-mail.

Volgens de gegevens van RBS zijn er dit jaar 222 kwetsbaarheden gemeld in beveiligingsproducten, wat neerkomt op 3,4 procent van alle kwetsbaarheden die tot nu toe in 2016 zijn gezien.

'Het klinkt misschien niet zo veel, maar het is eigenlijk best belangrijk', zei Eiram.

Symantec heeft een beveiligingsadvies gepubliceerd met een lijst van de betrokken producten en instructies voor het bijwerken ervan. Alle Norton-producten - de consumentenlijn - zouden automatisch moeten zijn bijgewerkt.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.