Anche gli anti-virus possono avere falle e vulnerabilità: è la volta di Symantec

Anche gli anti-virus possono avere falle e vulnerabilità: è la volta di Symantec

Gli antivirus Symantec sono vulnerabili ad un exploit che provoca un buffer overflow sul computer in uso. Il bug è nel Symantec Antivirus Engine

di Nino Grasso pubblicata il , alle 16:01 nel canale Sicurezza
Symantec
 

Il ricercatore di sicurezza Tavis Ormandy, che lavora per il team Project Zero di Google al fine di scovare falle di sicurezza e vulnerabilità nei sistemi, ha scoperto che il Symantec Antivirus Engine è vulnerabile ad attacchi esterni durante l'analisi di file header PE (portable-executable) in formato non corretto. In questi casi si può manifestare un buffer overflow con conseguente crash del sistema. Non è la prima volta in cui viene scoperto un bug in un sistema anti-virus, ma non capita spesso che tali vulnerabilità siano attive su tutte le piattaforme come nell'ultimo caso scoperto da Ormandy.

"Tali file PE in formato non valido possono essere ricevuti tramite e-mail in entrata, download di documenti o applicazioni o visitando un sito web malevolo", ha scritto il ricercatore descrivendo la nuova falla scoperta sul sistema Symantec. "Non è necessaria alcuna interazione da parte dell'utente per lanciare l'analisi del file non valido. Su Windows questo si traduce nella corruzione della memoria del kernel visto che il motore che si occupa della scansione è caricato nel kernel. In questo modo l vulnerabilità diventa di tipo remote ring0 memory corruption".

Per gli altri sistemi operativi, come Linux, OS X e altri software basati su Unix, l'exploit si manifesta come un remote heap overflow come utente root nel processo Symantec o Norton. Stando a quanto ha osservato Symantec sulla vulnerabilità, il "risultato più comune di un attacco portato a termine con successo" potrebbe essere un crash del sistema o una BSOD, la famigerata schermata blu della morte. Tuttavia dare vita all'exploit non richiede nemmeno l 'interazione da parte dell'utente, come ha segnalato Ormandy: "Visto che Symantec utilizza un driver per intercettare tutte le I/O del sistema, è sufficiente inviare un file ad una vittima o inviare un link per sfruttare il bug".

La parte positiva è che Symantec ha già distribuito lunedì un fix per i suoi prodotti, dichiarando che chi utilizza LiveUpdate dovrebbe aver già ricevuto e installato la patch. Ad essere affetti dalla vulnerabilità erano i seguenti software, su tutte le piattaforme disponibili: Symantec Endpoint Antivirus, Norton Antivirus, Symantec Scan Engine, Symantec Email Security. Non è la prima volta che viene trovato un bug su un antivirus, con il Project Zero che ha in passato bacchettato altri marchi famosi del settore, come Kaspersky, Avast, FireEye, AVG e MalwareBytes.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

20 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Braccop18 Maggio 2016, 16:08 #1
c'e' ancora qualcuno che usa norton antivirus?
HSH18 Maggio 2016, 16:31 #2
aziendalmente si e parecchi anche
Symantec Endpoint Protection
WarDuck18 Maggio 2016, 16:32 #3
Originariamente inviato da: Braccop
c'e' ancora qualcuno che usa norton antivirus?


Non è questo il punto.

Il punto è che un qualsiasi software è soggetto a vulnerabilità, compresi gli antivirus.

Non si sa per quale motivo un antivirus dovrebbe esserne auto-magicamente immune.

Ergo si deve usare la testa quando si naviga in rete e non affidarsi ciecamente ad un software, che per essa stessa definizione è progettato e sviluppato da altri esseri umani (i quali possono sbagliare).
PsychoWood18 Maggio 2016, 16:35 #4
Bei tempi, quando per fare il "jailbreak" di device Symbian si usava un software firmato a livello massimo (credo proprio un antivirus) che aveva praticamente i permessi di root e poteva sostituire i file anche nelle directory di sistema...
calabar18 Maggio 2016, 17:19 #5
In realtà il problema è abbastanza esteso e riguarda il software di sicurezza in generale.
In questo articolo si parla dei ricercatori di un'università canadese che hanno affrontato il problema.
Braccop18 Maggio 2016, 17:48 #6
Originariamente inviato da: HSH
aziendalmente si e parecchi anche
Symantec Endpoint Protection


brrr...

Originariamente inviato da: WarDuck
Non è questo il punto.

Il punto è che un qualsiasi software è soggetto a vulnerabilità, compresi gli antivirus.


mah, pensavo che questa fosse diventata una cosa ovvia anche ai piu'...
HSH18 Maggio 2016, 18:02 #7
provare prima di rabbrividire è una cosa da imparare
v10_star18 Maggio 2016, 18:23 #8
Originariamente inviato da: HSH
aziendalmente si e parecchi anche
Symantec Endpoint Protection


cazzo, nel 2016 è ancora in circolazione il virus giallo?
jepessen19 Maggio 2016, 09:26 #9
Originariamente inviato da: Braccop
c'e' ancora qualcuno che usa norton antivirus?


Originariamente inviato da: v10_star
cazzo, nel 2016 è ancora in circolazione il virus giallo?


Presente, e non me ne pento. Quasi ogni anno al momento del rinnovo mi informo per qualche giorno e poi scelgo l'antivirus. Fino ad un paio di anni fa avevo NOD32, poi sono passato a Norton ed al momento non vedo motivi per cambiare.

Efficace e leggero, basta informarsi per bene e non basarsi su quelli che dicono solo "scaffale" e "brrrr" senza provare le cose e senza compararle con altre...

Qualche anno fa non lo avrei preso neanch'io, ma evidentemente negli ultimi tempi si sono dati da fare e i risultati si vedono parecchio.

Poi ognuno e' libero di scegliere quello che preferisce...
djfix1319 Maggio 2016, 09:45 #10
io sarò anche l'utimo dei tecnici ma da almeno 15 anni gli AV Symantec vanno in blocco con certe infezioni (o venivano disattivati o crashavano se si lanciava uno scan) bisognava sempre usare un 2° pc per le pulizie o se si poteva con un CD Guard di avvio.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^