Les failles vermifuges des produits Symantec exposent des millions d'ordinateurs au piratage

Un chercheur en sécurité de Google a découvert des vulnérabilités très graves dans les produits d'entreprise et grand public du fournisseur d'antivirus Symantec qui pourraient être facilement exploitées par des pirates pour prendre le contrôle d'ordinateurs.

Symantec a publié des correctifs pour les produits concernés, mais bien que certains produits aient été mis à jour automatiquement, certains produits d'entreprise concernés pourraient nécessiter une intervention manuelle.

Les défauts ont été découverts par Tavis Ormandy, un chercheur de l'équipe Project Zero de Google qui a trouvé des vulnérabilités similaires dans les produits antivirus d'autres fournisseurs. Ils mettent en évidence le mauvais état de la sécurité des logiciels dans le monde des antivirus, ce qui a été noté par les chercheurs.

La plupart des nouvelles failles trouvées par Ormandy se trouvent dans le composant Decomposer du moteur antivirus Symantec. Ce composant gère l'analyse de différents formats de fichiers, y compris des fichiers d'archives comme RAR et ZIP. De plus, le Decomposer fonctionne sous l'utilisateur système, le compte le plus privilégié sur les systèmes Windows.

Symantec n'a pas immédiatement répondu à une demande de commentaires sur les vulnérabilités.

Les chercheurs en sécurité ont critiqué les fournisseurs d'antivirus à plusieurs reprises pour avoir effectué des opérations risquées comme l'analyse de fichiers avec des privilèges inutilement élevés. Historiquement, ces opérations ont été à l'origine de nombreuses vulnérabilités d'exécution de code arbitraire dans toutes sortes d'applications..

Ormandy a trouvé des vulnérabilités dans le code Symantec utilisé pour gérer les fichiers ZIP, RAR, LZH, LHA, CAB, MIME, TNEF et PPT. La plupart de ces failles peuvent conduire à l'exécution de code à distance et sont vermifuges, ce qui signifie qu'elles peuvent être utilisées pour créer des vers informatiques..

"Parce que Symantec utilise un pilote de filtre pour intercepter toutes les E / S du système [opérations d'entrée / sortie], il suffit d'envoyer un fichier par e-mail à une victime ou de lui envoyer un lien vers un exploit pour le déclencher - la victime n'a pas besoin d'ouvrir le fichier ou interagir avec lui de toute façon ", a déclaré Ormandy dans un article de blog.

Encore plus surprenant est le fait que Symantec semble avoir utilisé du code provenant de bibliothèques open source, mais n'a pas réussi à importer les correctifs publiés par ces projets au fil des ans.

Par exemple, Ormandy a déterminé que les produits Symantec utilisaient la version 4.1.4 d'un package non-open source qui a été publié en janvier 2012. La version la plus récente de ce code est 5.3.11. Une situation similaire a également été observée pour une autre bibliothèque appelée libmspack.

"Des dizaines de vulnérabilités publiques dans ces bibliothèques ont affecté Symantec, certaines avec des exploits publics", a déclaré Ormandy. "Nous avons envoyé des exemples à Symantec, et ils ont vérifié qu'ils avaient pris du retard sur les versions."

L'incapacité à suivre les vulnérabilités corrigées dans le code tiers utilisé par les éditeurs de logiciels et les développeurs dans leurs propres projets est un problème répandu. Cependant, on s'attend naturellement à ce que les fournisseurs de sécurité ne commettent pas cette erreur. Après tout, ils prêchent souvent le développement de logiciels sécurisés et la gestion des vulnérabilités aux autres.

Malheureusement, "quand on regarde comment même un géant d'un fournisseur de produits de sécurité comme Symantec regroupe l'ancien code dans ses produits, il n'a clairement pas soumis ce code à des examens et à des tests de sécurité, et pour couronner le tout, il exécute cet ancien code dangereux avec SYSTÈME / privilèges root, il est clair que les fournisseurs de sécurité ne respectent pas des normes très élevées ", a déclaré par e-mail Carsten Eiram, directeur de la recherche de la société de renseignement sur les vulnérabilités Risk Based Security..

Selon les données de RBS, 222 vulnérabilités ont été signalées cette année dans les produits de sécurité, ce qui représente 3,4% de toutes les vulnérabilités observées en 2016 jusqu'à présent..

"Cela peut ne pas sembler beaucoup, mais c'est en fait assez important", a déclaré Eiram..

Symantec a publié un avis de sécurité qui répertorie les produits concernés et contient des instructions sur la façon de les mettre à jour. Tous les produits Norton - la gamme grand public - auraient dû être mis à jour automatiquement.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.