Sophos Antivirus mit kritischen Lücken

Sophos Antivirus ist, so der Sicherheitsforscher Tavis Ormandy in seinem seinen Paper ist nicht sehr sicher. Daher rät er nach seiner Auswertung Unternehmen, Sophos Antivirus Produkte lediglich in nicht kritischen Umgebungen einzusetzen. Inzwischen hat Sophos aber die meisten der angesprochenen Sicherheitslücken behoben, wie das Unternehmen in einem Blog mitteilt. In einem älteren Paper hatte sich Ormandy bereits mit der Sicherheit der Sophos-Produkte auseinander gesetzt.

Ormandy arbeitet als Sicherheitsexperte für Google, betont jedoch, dass er in dem “Sophail: Applied attacks against Sophos Antivirus” lediglich seine private Meinung wiedergebe. In dem Papier dokumentiert Ormandy ein Proof of Concept für ein PDF-Parsing-Leck, das sich laut Ormandy auch ohne Nutzer-Interaktion ausführen lässt.

Darüber hinaus scheint es in Sophos Antivirus Lecks beim Parsen von Visual Basic 6, RAR-, CAB- und PDF-Dateien zu geben. Diese Lecks lassen sich remote ausnutzen und erlauben das Ausführen von beliebigem Code. In seiner Dokumentation bezieht sich Ormandy auf die Mac-Version von Sophos. Jedoch seien die Versionen für Linux und Windows ebenfalls von diesen Lecks betroffen und die Exploits, die er beschreibt, seien leicht auf andere Plattformen portierbar.

Besonders schwerwiegend sei laut Ormandy das PDF-Parsing-Leck in Sophos Antivirus, das sich schlicht über eine Mail verbreiten lässt. Es ermöglicht, dass sich ein Wurm über Outlook verbreitet. Und das auch ohne, dass ein Nutzer eine Mail oder einen Anhang öffnet. Denn der Exploit kann sich auch ohne Interaktion verbreiten. Aber auch durch das Öffenen einer Datei oder über eine manipulierte Webseite könne der Schadcode ausgeführt werden. “Jede Methode, die ein Hacker verwenden kann, um I/O anzustoßen, reicht aus, um diese Schwachstelle auszunutzen”, erklärt der Sicherheitsforscher.

Sophos Antivirus hebelt die Same Origin Policy aus, wie Tavis Ormandy in einem Forschungsbericht darstellt. Quelle: Ormandy

Zudem deaktiviere Sophos Antivirus einige Sicherheitsfunktionen, die Windows mitbringt. So zum Beispiel wird der Protected Mode im Internet Explorer deaktiviert. Ein Template, das dafür sorgt, dass Blacklist-Warnungen dargestellt werden, könne über eine Cross-Site-Scritpting-Lücke dafür genutzt werden, um die Sicherheitskomponente Same Origin Policy des Browsers zu umgehen. Ohne diesen Schutz könne jede Webseite mit dem Intranet, Mail oder dem Registrar kommunizieren und interagieren.

Das Feature Buffer Overflow Protection System (BOPS) in Sophos Antivirus deaktiviert eine Sicherheitsfunktion in Windows, die das Risiko von Adress Space Layout Randomization minimieren soll.

Ormandy hatte seine Ergebnisse bereits im Vorfeld an Sophos mitgeteilt. Wie das Unternehmen im Blog erklärt, wurden in einer Aktualisierung am 5. November bereits einige Lecks geschlossen. Weitere Lecks, die Ormandy bisher nicht veröffentlicht hatte, sollen in einem weiteren Patch am 28. November geschlossen werden.

Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

7 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

7 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago