I difetti risolvibili nei prodotti Symantec espongono milioni di computer alla pirateria informatica

Un ricercatore di sicurezza di Google ha riscontrato vulnerabilità di elevata gravità nei prodotti aziendali e di consumo del fornitore di antivirus Symantec che potrebbero essere facilmente sfruttate dagli hacker per assumere il controllo dei computer.

Symantec ha rilasciato patch per i prodotti interessati, ma mentre alcuni prodotti sono stati aggiornati automaticamente, alcuni prodotti aziendali interessati potrebbero richiedere un intervento manuale.

I difetti sono stati rilevati da Tavis Ormandy, un ricercatore del team Project Zero di Google che ha riscontrato vulnerabilità simili nei prodotti antivirus di altri fornitori. Sottolineano il cattivo stato della sicurezza del software nel mondo antivirus, qualcosa che è stato notato dai ricercatori.

La maggior parte dei nuovi difetti riscontrati da Ormandy sono nel componente Decomposer del motore antivirus Symantec. Questo componente gestisce l'analisi di vari formati di file, inclusi file di archivio come RAR e ZIP. Inoltre, Decomposer viene eseguito sotto l'utente di sistema, l'account più privilegiato sui sistemi Windows.

Symantec non ha immediatamente risposto a una richiesta di commenti sulle vulnerabilità.

I ricercatori della sicurezza hanno criticato molte volte i fornitori di antivirus per l'esecuzione di operazioni rischiose come l'analisi dei file con privilegi inutilmente elevati. Storicamente, tali operazioni sono state fonte di molte vulnerabilità di esecuzione di codice arbitrario in tutti i tipi di applicazioni.

Ormandy ha riscontrato vulnerabilità nel codice Symantec utilizzato per gestire i file ZIP, RAR, LZH, LHA, CAB, MIME, TNEF e PPT. La maggior parte di questi difetti può portare all'esecuzione di codice in remoto e sono wormable, il che significa che possono essere utilizzati per creare worm per computer.

"Poiché Symantec utilizza un driver di filtro per intercettare tutti gli I / O di sistema [operazioni di input / output], è sufficiente inviare un file via e-mail a una vittima o inviare loro un collegamento a un exploit per attivarlo: la vittima non deve aprire il file o interagire con esso in ogni caso ", ha detto Ormandy in un post sul blog.

Ancora più sorprendente è il fatto che Symantec sembra aver usato il codice delle librerie open source, ma non è riuscito a importare patch rilasciate da tali progetti nel corso degli anni.

Ad esempio, Ormandy ha stabilito che i prodotti Symantec utilizzavano la versione 4.1.4 di un pacchetto unrar open source che è stato rilasciato nel gennaio 2012. La versione più recente di quel codice è 5.3.11. Una situazione simile è stata osservata anche per un'altra libreria chiamata libmspack.

"Dozzine di vulnerabilità pubbliche in queste biblioteche hanno interessato Symantec, alcune con exploit pubblici", ha affermato Ormandy. "Abbiamo inviato alcuni esempi a Symantec e hanno verificato di essere rimasti indietro rispetto alle versioni".

L'incapacità di tenere traccia delle vulnerabilità corrette nel codice di terze parti utilizzato dai produttori di software e dagli sviluppatori nei propri progetti è un problema diffuso. Tuttavia, c'è una naturale aspettativa che i fornitori di sicurezza non commettano questo errore. Dopotutto, spesso predicano ad altri lo sviluppo di software sicuro e la gestione delle vulnerabilità.

Sfortunatamente, "quando si guarda come anche un colosso di un fornitore di prodotti di sicurezza come Symantec sta raggruppando codice antico nei propri prodotti, chiaramente non ha sottoposto questo codice a revisioni e test di sicurezza e, per finire, esegue questo vecchio codice non sicuro con Privilegi di sistema / radice, è chiaro che i fornitori di sicurezza non si attengono a standard molto elevati ", ha affermato via e-mail Carsten Eiram, responsabile della ricerca della società di intelligence sulla vulnerabilità Risk Based Security..

Secondo i dati di RBS, quest'anno sono state segnalate 222 vulnerabilità nei prodotti di sicurezza, che rappresentano il 3,4 percento di tutte le vulnerabilità viste finora nel 2016.

"Potrebbe non sembrare molto, ma in realtà è abbastanza significativo", ha detto Eiram.

Symantec ha pubblicato un avviso di sicurezza che elenca i prodotti interessati e contiene istruzioni su come aggiornarli. Tutti i prodotti Norton - la linea consumer - avrebbero dovuto essere aggiornati automaticamente.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.