शोधकर्ता को सोफोस एंटीवायरस उत्पाद में महत्वपूर्ण भेद्यताएं मिलती हैं

सुरक्षा शोधकर्ता टैविस ऑर्मेन्डी ने यूके स्थित सुरक्षा फर्म सोफोस द्वारा विकसित एंटीवायरस उत्पाद में महत्वपूर्ण भेद्यता की खोज की और संगठनों को सलाह दी महत्वपूर्ण सिस्टम पर उत्पाद का उपयोग करने से बचें जब तक कि विक्रेता अपने उत्पाद विकास, गुणवत्ता आश्वासन और सुरक्षा प्रतिक्रिया प्रथाओं में सुधार नहीं करता।

ऑर्मेडी, जो Google पर एक सूचना सुरक्षा अभियंता के रूप में काम करता है, ने एक शोध पत्र में मिली भेद्यताओं के बारे में ब्योरा दिया " सोफेल: सोफोस एंटी के खिलाफ एप्लाइड हमले वायरस "जो सोमवार को प्रकाशित हुआ था। ऑर्मेन्डी ने नोट किया कि शोध अपने खाली समय में किया गया था और पेपर में व्यक्त किए गए विचार स्वयं के हैं और उनके नियोक्ता के नहीं हैं।

पेपर में विजुअल बेसिक 6 को पार्स करने के लिए जिम्मेदार सोफोस एंटीवायरस कोड में कई भेद्यताएं हैं, पीडीएफ, सीएबी और आरएआर फाइलें। इनमें से कुछ त्रुटियों को दूरस्थ रूप से हमला किया जा सकता है और परिणामस्वरूप सिस्टम पर मनमाने ढंग से कोड निष्पादित किया जा सकता है।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

ऑर्मेडी में सबूत-ऑफ-अवधारणा शोषण भी शामिल है पीडीएफ पार्सिंग भेद्यता के लिए जो दावा करता है उसके लिए कोई उपयोगकर्ता इंटरैक्शन की आवश्यकता नहीं होती है, कोई प्रमाणीकरण नहीं होता है और आसानी से स्वयं फैलाने वाले कीड़े में परिवर्तित किया जा सकता है।

शोधकर्ता ने सोफोस एंटीवायरस के मैक संस्करण के लिए शोषण बनाया, लेकिन ध्यान दिया कि भेद्यता भी प्रभावित करती है उत्पाद और शोषण के विंडोज़ और लिनक्स संस्करणों का आसानी से उन प्लेटफार्मों में अनुवाद किया जा सकता है।

पीडीएफ पार्सिंग भेद्यता का उपयोग आउटलुक या मेल.एप में ईमेल प्राप्त करके किया जा सकता है, ऑर्मेन्डी ने पेपर में कहा। चूंकि सोफोस एंटीवायरस स्वचालित रूप से इनपुट और आउटपुट (आई / ओ) संचालन को रोकता है, ईमेल खोलना या पढ़ना भी जरूरी नहीं है।

"वैश्विक नेटवर्क कीड़े के लिए सबसे यथार्थवादी हमला परिदृश्य ईमेल के माध्यम से आत्म-प्रचार है," ऑर्मेन्डी ने कहा। "किसी भी उपयोगकर्ता को ईमेल से बातचीत करने की आवश्यकता नहीं है, क्योंकि भेद्यता का स्वचालित रूप से शोषण किया जाएगा।"

हालांकि, अन्य हमले के तरीके भी संभव हैं-उदाहरण के लिए, हमलावर द्वारा प्रदान किए गए किसी भी प्रकार की किसी भी फ़ाइल को खोलकर; शोधकर्ता ने कहा कि एक यूआरएल (यहां तक ​​कि एक सैंडबॉक्स वाले ब्राउजर में), या एमआईएमआई सिड का उपयोग कर छवियों को एम्बेड करना: वेबमेल क्लाइंट में खोले गए ईमेल में यूआरएल का दौरा करना। "किसी भी विधि का हमलावर इस कमजोरता का फायदा उठाने के लिए पर्याप्त है I / O का उपयोग करने के लिए उपयोग कर सकता है।"

ऑर्मेडी ने यह भी पाया कि "बफर ओवरफ्लो प्रोटेक्शन सिस्टम" (बीओपीएस) नामक एक घटक जिसे सोफोस एंटीवायरस के साथ बंडल किया गया है, एएसएलआर को अक्षम करता है (एड्रेस स्पेस लेआउट यादृच्छिकरण) विस्टा और बाद में डिफ़ॉल्ट रूप से इसका समर्थन करने वाले सभी विंडोज संस्करणों पर शमन सुविधा का फायदा उठाएं।

"इस तरह एएसएलआर सिस्टम को इस तरह से अक्षम करने में असमर्थ है, खासकर उन ग्राहकों के लिए एक बेवकूफ विकल्प बेचने के लिए शोधकर्ता ने कहा कि माइक्रोसॉफ्ट द्वारा प्रदान की गई तुलना में कार्यात्मक रूप से गरीब। "99

सोफोस एंटीवायरस द्वारा स्थापित इंटरनेट एक्सप्लोरर के लिए एक वेबसाइट ब्लैकलिस्टिंग घटक ब्राउज़र की संरक्षित मोड सुविधा द्वारा प्रदान की गई सुरक्षा को रद्द कर देता है, शोधकर्ता ने कहा। इसके अलावा, ब्लैकलिस्टिंग घटक द्वारा चेतावनियां प्रदर्शित करने के लिए प्रयुक्त टेम्पलेट एक सार्वभौमिक क्रॉस-साइट स्क्रिप्टिंग भेद्यता पेश करता है जो ब्राउज़र की समान उत्पत्ति नीति को हरा देता है।

वही मूल नीति "मौलिक सुरक्षा तंत्र है जो इंटरनेट को सुरक्षित बनाती है उपयोग करें, "Ormandy ने कहा। "उसी मूल नीति के साथ पराजित होने के साथ, एक दुर्भावनापूर्ण वेबसाइट आपके मेल, इंट्रानेट सिस्टम, रजिस्ट्रार, बैंक और पेरोल सिस्टम के साथ बातचीत कर सकती है।"

पूरे पेपर में ऑर्मेन्डी की टिप्पणियां बताती हैं कि इनमें से कई भेद्यताएं पकड़ी जानी चाहिए उत्पाद विकास और गुणवत्ता आश्वासन प्रक्रियाओं के दौरान।

शोधकर्ता ने सोफोस के साथ अपने निष्कर्षों को पहले से साझा किया और कंपनी ने पेपर में प्रकट भेद्यताओं के लिए सुरक्षा सुधार जारी किए। कंपनी के सोमवार को ब्लॉग पोस्ट में सोमवार को कहा गया कि कुछ फिक्स 22 अक्टूबर को जारी किए गए थे, जबकि अन्य को 5 नवंबर को रिहा कर दिया गया था।

अभी भी कुछ संभावित शोषण योग्य मुद्दे हैं जो ओमांडी द्वारा फजिंग के माध्यम से खोजे गए हैं- एक सुरक्षा परीक्षण विधि-जो सोफोस के साथ साझा की गई थी, लेकिन सार्वजनिक रूप से इसका खुलासा नहीं किया गया था। सोफोस ने कहा कि उन मुद्दों की जांच की जा रही है और उनके लिए फिक्स्ड 28 नवंबर को शुरू किए जाएंगे।

"एक सुरक्षा कंपनी के रूप में, ग्राहकों को सुरक्षित रखना सोफोस की प्राथमिक ज़िम्मेदारी है।" "नतीजतन, सोफोस विशेषज्ञ सभी भेद्यता रिपोर्टों की जांच करते हैं और सबसे कठिन समय अवधि में कार्रवाई के सर्वोत्तम पाठ्यक्रम को लागू करते हैं।"

"यह अच्छा है कि सोफोस हफ्तों के भीतर फिक्सेस का सूट देने में सक्षम है, और ग्राहकों को बाधित किए बिना सोफोस के एक वरिष्ठ प्रौद्योगिकी परामर्शदाता ग्राहम क्लूली ने मंगलवार को ईमेल के माध्यम से कहा, 'सामान्य परिचालन'। "हम आभारी हैं कि टैविस ऑर्मेन्डी को भेद्यताएं मिलीं, क्योंकि इससे सोफोस के उत्पादों को बेहतर बनाने में मदद मिली है।"

हालांकि, ऑर्मेन्डी सोफोस को उस गंभीर भेद्यता को पकड़ने के समय से संतुष्ट नहीं था। उन्होंने कहा कि 10 सितंबर को कंपनी को मुद्दों की सूचना मिली थी।

"इस रिपोर्ट की शुरुआती पहुंच के जवाब में, सोफोस ने चर्चा के मुद्दों को हल करने के लिए कुछ संसाधन आवंटित किए थे, हालांकि वे आउटपुट के आउटपुट को संभालने के लिए स्पष्ट रूप से खराब थे एक सहकारी, गैर-विरोधी सुरक्षा शोधकर्ता, "ऑर्मेन्डी ने कहा। "एक परिष्कृत राज्य प्रायोजित या अत्यधिक प्रेरित हमलावर पूरे सोफोस उपयोगकर्ता आधार को आसानी से बर्बाद कर सकता है।"

"सोफोस का दावा है कि उनके उत्पादों को स्वास्थ्य, सरकार, वित्त और यहां तक ​​कि सेना भर में तैनात किया जाता है।" "अराजकता एक प्रेरित हमलावर इन प्रणालियों का कारण बन सकता है एक यथार्थवादी वैश्विक खतरा है। इस कारण से, सोफोस उत्पादों को केवल कम मूल्य वाले गैर-महत्वपूर्ण प्रणालियों के लिए माना जाना चाहिए और कभी भी नेटवर्क या वातावरण पर तैनात नहीं किया जाना चाहिए जहां प्रतिद्वंद्वियों द्वारा पूर्ण समझौता असुविधाजनक होगा। "

ऑर्मेन्डी के पेपर में एक ऐसा अनुभाग होता है जो सर्वोत्तम प्रथाओं का वर्णन करता है और उन्होंने सोफोस ग्राहकों के लिए शोधकर्ता की सिफारिशों को शामिल किया है, जैसे कि आकस्मिक योजनाओं को लागू करना जो उन्हें कम नोटिस पर सोफोस एंटीवायरस इंस्टॉलेशन को अक्षम करने की अनुमति देगा।

"सोफोस केवल हमले को रोकने के लिए पर्याप्त प्रतिक्रिया नहीं दे सकता है, भले ही कामकाजी शोषण के साथ प्रस्तुत किया जाए" । "क्या एक हमलावर सोफोस एंटीवायरस को अपने नेटवर्क में उनके कंडिशन के रूप में उपयोग करना चुनता है, सोफोस कुछ समय के लिए अपने निरंतर घुसपैठ को रोकने में सक्षम नहीं होंगे, और यदि आप सोफोस को तैनात करना जारी रखना चुनते हैं तो आपको इस परिदृश्य को संभालने के लिए आकस्मिक योजनाओं को लागू करना होगा।"