연구원이 소포스 바이러스 백신 제품의 치명적인 취약점 발견

Google의 정보 보안 엔지니어로 일하는 Ormandy는 연구 논문에서 발견 한 취약점에 대한 세부 사항을 " Sophail: Sophos Anti에 대한 응용 공격 바이러스 "를 공개했다. Ormandy는이 연구가 여가 시간에 수행되었으며 논문에 표현 된 견해는 자신의 것이지 고용주의 견해는 아니라고 지적했습니다.

이 백서에는 Visual Basic 6 구문 분석을 담당하는 Sophos 바이러스 백신 코드의 몇 가지 취약점에 대한 세부 정보가 들어 있습니다., PDF, CAB 및 RAR 파일. 이 결함 중 일부는 원격으로 공격받을 수 있으며 시스템에 임의의 코드가 실행될 수 있습니다.

[추가 정보: Windows PC에서 악성 코드 제거 방법]

Ormandy는 개념 증명 착취 그가 주장하는 PDF 파싱 취약점은 사용자 상호 작용이 필요없고 인증이 필요 없으며 자체 확산 웜으로 쉽게 변형 될 수 있습니다.

연구원은 Mac 버전의 Sophos 바이러스 백신에 대한 익스플로잇을 구축했지만 취약점이 Windows 및 Linux 버전의 제품 및 익스플로잇은 해당 플랫폼으로 쉽게 변환 될 수 있습니다.

Outlook 또는 Mail.app에서 전자 메일을 수신하면 PDF 구문 분석 취약점이 악용 될 수 있다고 Ormandy는 전했다. 소포스 바이러스 백신이 자동으로 입출력 (I / O) 작업을 가로 채기 때문에 이메일을 열거 나 읽을 필요조차 없습니다. "글로벌 네트워크 웜에 대한 가장 현실적인 공격 시나리오는 이메일을 통한 자체 전파입니다"라고 Ormandy는 말했습니다. "취약점이 자동으로 악용되기 때문에 사용자는 전자 메일과 상호 작용할 필요가 없습니다."그러나 다른 공격 방법도 가능합니다 (예: 공격자가 제공 한 모든 파일을 여는 것). (샌드 박스 브라우저에서도) URL을 방문하거나, MIME cid: URL을 사용하여 이미지를 웹 메일 클라이언트에서 열리는 전자 메일에 임베드한다고 연구원은 전했다. "공격자가 I / O를 유발하는 데 사용할 수있는 모든 방법으로이 취약점을 악용 할 수 있습니다."Ormandy는 Sophos 바이러스 백신과 번들로 제공되는 "버퍼 오버 플로우 방지 시스템"(BOPS)이라는 구성 요소가 ASLR 주소 공간 레이아웃 무작위 화)은 기본적으로 Vista 이상을 포함하여 모든 Windows 버전에서 완화 기능을 악용합니다.

"이처럼 시스템 전체에 ASLR을 사용하지 않도록 설정하는 것은 용납 할 수 없습니다. 마이크로 소프트가 제공하는 것보다 기능이 떨어지는 것 "이라고 지적했다.

소포스 바이러스 백신에 의해 설치된 Internet Explorer 용 웹 사이트 블랙리스트 구성 요소는 브라우저의 보호 모드 기능에 의해 제공되는 보호를 취소한다고 연구원은 말했다. 또한 블랙리스트 구성 요소에 의해 경고를 표시하는 데 사용되는 템플릿은 브라우저의 동일 출처 정책을 위반하는 범용 크로스 사이트 스크립팅 취약점을 야기합니다.

동일 출처 정책은 "인터넷을 안전하게 보호하는 근본적인 보안 메커니즘 중 하나입니다. "오만 디가 말했다. "같은 Origin 정책이 무효화되면 악의적 인 웹 사이트가 메일, 인트라넷 시스템, 등록 기관, 은행 및 급여 시스템 등과 상호 작용할 수 있습니다."

Ormandy의 의견에 따르면이 취약점 중 상당수는 제품 개발 및 품질 보증 프로세스 중.

연구원은 사전에 소포스와 그의 연구 결과를 공유했으며이 회사는이 백서에 공개 된 취약점에 대한 보안 수정을 발표했습니다. 일부 수정본은 10 월 22 일에 배포되었고, 다른 일부는 11 월 5 일에 릴리스되었다고 블로그는 월요일 블로그 게시물에서 밝혔다.

Ormandy가 발견 한 잠재적 인 악용 가능한 문제는 보안 테스트 이 방법은 소포스와 공유되었지만 공개적으로 공개되지는 않았습니다. 이 문제는 조사 중이며 11 월 28 일에 발표 될 예정이다.

"보안 회사로서 고객을 안전하게 지키는 것은 소포스의 주요 책임이다"라고 소포스는 말했다. 결과적으로 소포스 전문가들은 모든 취약성 보고서를 조사하고 가능한 한 가장 긴 기간 동안 최선의 행동 방침을 이행합니다. "

"소포스는 고객을 혼란스럽게하지 않으면 서 몇 주 내에 수정본을 제공 할 수있었습니다. 소포스 (Sophos)의 선임 기술 컨설턴트 인 그레이엄 클루 (Graham Cluley)는 전자 메일을 통해 "일반적인 운영 방식"이라고 밝혔다. "Tavis Ormandy가이 취약점을 발견 한 것에 감사 드리며, 이는 Sophos 제품의 개선에 도움이되었습니다."그러나 Ormandy는 Sophos가보고 한 치명적인 취약점을 패치하는 데 걸린 시간에 만족하지 않았습니다. 그는 "이 보고서에 대한 조기 접근에 대한 응답으로 소포스는 논의 된 문제를 해결하기 위해 일부 자원을 할당했지만 분명히이 보고서의 산출물을 처리하기에는 부적절했다"고 밝혔다. 한 협력적이고 비 적대적인 보안 연구원 "이라고 오르 만디는 말했다. "주정부가 후원하거나 고도의 동기를 가진 정교한 공격자는 소포스 사용자 기반 전체를 쉽게 파괴 할 수 있습니다."소포스는 자사 제품이 의료, 정부, 금융 및 심지어 군대에 배치되어 있다고 주장합니다. "동기 부여 된 공격자가 이러한 시스템에서 발생할 수있는 혼돈은 사실적인 글로벌 위협입니다. 이러한 이유로 소포스 제품은 가치가 낮은 중요하지 않은 시스템에 대해서만 고려되어야하며 적대자에 의한 완전한 침해가 불편할 수있는 네트워크 나 환경에 배치되지 않아야합니다. "

Ormandy의 논문에는 모범 사례 및 는 소포스 고객들에게 단기간에 소포스 바이러스 백신 설치를 해제 할 수있는 비상 계획을 실행하는 것과 같은 연구원의 권고 사항을 포함합니다. "소포스는 악용 사례가있을 때조차도 공격을 막기 위해 신속하게 대응할 수 없습니다.". "공격자가 소포스 안티 바이러스를 네트워크에 연결하는 데 사용하기를 원한다면, 소포스는 계속해서 침입을 막을 수 없으며, 소포스를 계속 배포하려면이 시나리오를 처리하기위한 비상 계획을 구현해야합니다."