В Symantec Antivirus найдена уязвимость, позволяющая получить полный контроль над системой

Исследователи безопасности из группы Zero ^[1] (созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей), раскрыли информацию о критической уязвимости (CVE-2016-2208 ^[2]) в антивирусном ПО Symantec. При проверке специально оформленных файлов в формате «PE» можно инициировать переполнение буфера и организовать выполнение кода в системе.

В процессе разбора исполняемых файлов, сжатых ранней версией aspack ^[3], возможно переполнение буфера в модуле Symantec Antivirus Engine, использованном в большинстве антивирусных продуктов, выпущенных под марками Symantec и Norton. Такая ситуация становится возможна, если секция данных усечена, т.е. если значение SizeOfRawData превышает значение SizeOfImage.

А теперь о самом интересном. Поскольку ПО Symantec использует драйвер-фильтр для перехвата всех операций ввода-вывода в системе, атака может быть произведена путем направления в систему-жертву эксплоита практически любым путем — скажем, в виде почтового сообщения или ссылки на файл.

В системах Linux, Mac и на других UNIX-платформах, таким образом можно добиться удаленного переполнения кучи (heap overflow), произведенной с правами суперпользователя в процессах Symantec или Norton. На Windows, результатом станет повреждение памяти ядра, поскольку там сканирующий модуль загружается в ядро, что может позволить выполнить код с правами ядра на уровне защиты ring0.

Продукты под марками Symantec и Norton интересны еще и тем, что часто входят в поставки ПК и ноутбуков. Это, безусловно, также повлияло на их распространенность, особенно срезу западных пользователей.

Компания-производитель оперативно опубликовала ^[4] обновление, исправляющее данную уязвимость. Таким образом, важно произвести его установку, в т.ч. и на Unix-серверах (установка потребует перезагрузки сервера).

Автор: dmitry_ch

Источник ^[5]