Взлом системы возможен с помощью непрочитанного сообщения электронной почты от злоумышленника. Дыры в безопасности позволяли киберперступникам получать полный контроль над машиной жертвы, просто за счет отправления вредоносного самовоспроизводящегося кода посредством не открытого сообщения или не нажатых ссылок.
Уязвимости затронули миллионы пользователей по всему миру, которые используют антивирусные продукты компании как не парадоксально для защиты своих устройств. Действительно, бреши были обнаружены в 17 корпоративных продуктах (под брендом Symantec) и в 8 потребительских продуктах и решениях для малого бизнеса (под брендом Norton). Среди них:
- Norton Security, Norton 360 и другие продукты Norton (все платформы)
- Symantec Endpoint Protection (все версии, все платформы)
- Symantec Email Security (все платформы)
- Symantec Protection Engine (все платформы)
- Symantec Protection for SharePoint Servers
Исследователь проекта Google, английский хакер, Тавис Орманди смело заявил:
“Эти уязвимости просто ужасны и имеют потенциально разрушительные последствия. Злоумышленник может легко скомпрометировать систему с помощью обнаруженных брешей”.
Орманди написал в блоге Project Zero: “Сетевые администраторы должны рассматривать всевозможные сценарии при развертывании антивирусной защиты с точки зрения потенциального увеличения поверхности атаки”.
Статья Орманди было опубликована уже после того, как Symantec объявила о наличии обнаруженных им уязвимостей: “Злоумышленник может потенциально выполнить произвольный код с помощью отправленного пользователю специального файла. Компания проверила данную проблему и выпустит исправления в ближайших обновлениях”.
Дыры в безопасности связаны с “движком декомпозера” - программы, которая распаковывает сжатые файлы, чтобы выполнять поиск потенциально вредоносных объектов - технология используется во всех продуктах Symantec. Орманди прокомментировал проблему: “Очень сложно сделать такой код безопасным. Чтобы избежать подобных уявзимостей, вендоры должны использовать виртуализацию - технику, которая позволяет исполнять код в безопасной изолированной среде, а также передовые стратегии защиты”.
Орманди продемонстрировал, что уязвимости могут эксплуатироваться для распространения компьютерных червей: “Просто отправка сообщения жертве или отправка ссылки на эксплойт являются достаточными условиями для эксплуатации. Жертве не нужно открывать файл или выполнять другие формы взаимодействия.”
Орманди отмечает, что Symantec не смогла обновить код даже после 7-лет использования. Он перечисляет дополнительные уязвимости в этом коде.
Тавис Орманди является ярым борцов с уязвимостями в программном обеспечении. Он помог обнаружить популярные у киберпреступников уязвимости - ошибки переполнения буфера и ошибки нарушения памяти в продуктах Comodo, ESET, Kaspersky, Fireeye, Intel McAfee, Trend Micro и т.д.
Пользователи Symantec должны посетить сайт компании, чтобы узнать, какие продукты уже могут быть автоматически обновлены, а для каких программ потребуется ручное обновление.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России