Quando il pericolo è nell’antivirus

Le vulnerabilità delle applicazioni sono la più grande minaccia da cui dovremmo guardarci, anche perché mentre gli attacchi vengono portati da attaccanti, che spesso scelgono accuratamente le proprie vittime, le applicazioni le andiamo a scegliere ed installare noi eggstessi.

Negli ultimi periodi, analizzando i casi di attacco più importanti abbiamo sempre riscontrato che uno dei vettori utilizzati per effettuare l’attacco è stata una vulnerabilità.

Fra le ultime vulnerabilità riscontrate un gruppo di queste ha coinvolto i prodotti di un noto produttore di software antimalware: Symantec.

  • CVE-2016-2207 Symantec Antivirus multiple remote memory corruption unpacking RAR [1]
  • CVE-2016-2208 Symantec antivirus products use common unpackers to extract malware binaries when scanning a system. A heap overflow vulnerability in the ASPack unpacker could allow an unauthenticated remote attacker to gain root privileges on Linux or OSX platforms. The vulnerability can be triggered remotely using a malicious file (via email or link) with no user interaction. [2]
  • CVE-2016-2209 Symantec: PowerPoint misaligned stream-cache remote stack buffer overflow [3]
  • CVE-2016-2210 Symantec: Remote Stack Buffer Overflow in dec2lha library [4]
  • CVE-2016-2211 Symantec: Symantec Antivirus multiple remote memory corruption unpacking MSPACK Archives [5]
  • CVE-2016-3644 Symantec: Heap overflow modifying MIME messages [6]
  • CVE-2016-3645 Symantec: Integer Overflow in TNEF decoder [7]
  • CVE-2016 -3646 Symantec: missing bounds checks in dec2zip ALPkOldFormatDecompressor::UnShrink [8]

Le più gravi fra queste vulnerabilità permettevano ad un attaccante di far eseguire del codice arbitrario alla macchina vittima, semplicemente inviando un file da far analizzare al motore di scansione, che durante la sua decompressione produceva all’interno dell’applicazione un buffer overflow e comunque un tentativo di attacco fallito è in grado di generare dei crash dell’applicazione e di conseguenza, trattandosi di un sistema di protezione del sistema, una falla nella sicurezza.

Nonostante al momento non risultino casi in cui queste vulnerabilità siano state utilizzate per effettuare un attacco reale non è da sottovalutare la gravità di questo caso, in cui il sistema di protezione è l’elemento stesso di vulnerabilità.

Tutti i clienti Symantec e Norton dovrebbero verificare con il proprio supporto quali patch installare per rendere sicura la propria installazione

 

5 Luglio 2016

Blog & News

Categorie