Tavis Ormandy después de estudiar el antivirus Sophos, ha encontrado numerosas vulnerabilidades. Pero no solo esto, empeora la seguridad del sistema operativo.
Ya en Agostos de 2011 Ormandy publicó un estudio sobre Sophos en el que ridiculizaba el tipo de protecciones que ofrecía el motor, desde el sistema de firmas hasta la protección de los desbordamientos de memoria que prometían, entre otras. Hizo crítica de distintas cosas como el uso de XOR para cifrar, la publicidad del producto en contra del control que hacía sobre algunos ataques. Estudió como el antivirus abría una superficie de ataque en el sistema para quién quisiera aprovecharla.
En la segunda versión del documento, se centró en encontrar vulnerabilidades en el motor y más problemas en la implementación, y encontró algunos fallos en la seguridad Windows.
- Ejecución de código al mandar analizar un binario especialmente manipulado en formato RAR, PDF, un ejecutable en Visual Basic y CAB.
- Elevación de privilegios gracias a un problema de permisos en Sophos.
- CrossSite Scripting a la hora de mostrar código HTML podría permitir el robo de cookies del usuario. Esto ocurre en la página de bloqueo de contenido supuestamente malicioso que muestra el antivirus en el navegador.
- La protección Buffer Overflow Protection System (BOPS) de Sophos, lejos de proteger, carga en cada proceso del sistema una DLL sin ASRL activo, por lo que a efectos prácticos, inutiliza el ASRL del sistema.
- El servicio Layered Service Provider (LSP, que bloquea contenido de Internet Explorer) carga módulos desde un directorio de integridad baja y escribible, lo que en la práctica inutiliza el modo protegido de Internet Explorer.
Los dos últimos errores son muy sencillos y fáciles de encontrar, podríamos decir que son errores tontos que dan a entender un desconocimiento de la seguridad básica de Windows.
"Uno de los "product manager" de Sophos dijo "La librería de Sophos Sophos_detoured.dll se ha compilado sin ASLR por motivos de rendimiento". Luego aclararon que esto no representa la posición del equipo de seguridad de la empresa y se debía a un malentendido."
Estos fallos no son vulnerabilidades de código (normal hasta cierto punto), son por un grave problema de entendimiento de la seguridad base, o por errores imperdonables.
La frase final de Ormandy es más que reveladora:
"Sophos pudo convencerme de que trabajaban con buenas intenciones, pero realmente no disponían del equipo necesario para manejar la información descubierta por un investigador de seguridad que coopera en su tiempo libre. Me dijeron que trabajarían en esto y que mejorarían sus prácticas internas de seguridad."
Los problemas que se han comunicado ya han sido resueltos, y los que no ya está programada una actualización. Debemos vigilar que tipo de antivirus instalamos en nuestros ordenadores porque por lo visto uno no se puede fiar ni de empresas de seguridad contrastadas. Antes de tomar cualquier decisión sobre el mejor software a utilizar, contrasten opiniones con amigos y en internet.
No hay comentarios:
Publicar un comentario