خطر هک شدن کامپیوترها به دلیل وجود یک نقص امنیتی در موتور آنتی‌ویروس Symantec

0
420
آنتی‌ویروس Symantec

موتور آنتی‌ویروس Symantec که در چند محصول این شرکت استفاده شده است، دارای یک نوع آسیب‌پذیری می‌باشد که به راحتی کامپیوترها را در معرض خطر هکرها قرار می‌دهد.

این نقص در AVE یا موتور آنتی‌ویروس Symantec نسخه ۲۰۱۵۱.۱.۱.۴ که به تازگی ارائه شده، رفع گردیده است. این آسیب‌پذیری در هنگام بررسی فایل‌های اجرایی با Headerهای ناقص پدید می‌آید و شامل شرایط سرریز بافر (Buffer Overflow) می‌باشد.

طبق اظهارات Tavis Ormandy، مهندس امنیت گوگل که این نقص را شناسایی نموده است، آسیب‌پذیری ذکر شده، می‌تواند به صورت Remote با اجرای کدهای مخرب بر روی کامپیوتر کاربر Exploit گردد. Attackerها می توانند با ارسال یک فایل مخرب در ضمیمه ایمیل و یا با ترغیب کاربران برای کلیک نمودن بر روی یک لینک مخرب، به سیستم آن‌ها نفوذ نمایند.

نکته قابل توجه آن است که در این فرآیند نیازی به اجرای فایل مخرب نمی باشد، زیرا موتور آنتی‌ویروس از یک درایور برای قطع (Intercept) کلیه عملیات‌های ورودی و خروجی سیستم استفاده نموده و فایل را به محض رسیدن به سیستم فایل به صورت خودکار  اسکن می‌نماید.

اگر فایلی پس از بررسی Header به عنوان یک فایل اجرایی پورتابل شناسایی گردد که با ASPack (ابزار فشرده‌سازی تجاری) فشرده‌سازی شده است، پسوند آن فایل اهمیتی نخواهد داشت. بدترین حالت آن است که Symantec AVE، چنین فایل‌هایی را در داخل Kernel، که یک محدوده با دسترسی بالا در سیستم عامل می باشد، Unpack نماید. به عبارت دیگر یک Exploitation موفق، موجب به خطر افتادن کل سیستم گردد.

Ormandy اظهار داشت که این موضوع، در پلتفرم‌های Linux، Mac و سایر پلتفرم‌های Unix موجب سرریز هیپ (Heap Overflow) از راه دور به عنوان Root در فرآیند Symantec یا Norton می‌گردد. وی افزود: این مساله در ویندوز موجب تخریب حافظه Kernel می‌گردد، زیرا موتور اسکن روی Kernel بارگذاری شده و باعث آسیب‌پذیری تخریب حافظه Remote Ring0 می‌شود و این بدترین حالتی است که ممکن است رخ دهد.

Symantec، شدت این آسیب‌پذیری را در (Common Vulnerability Scoring System (CVSS حدود ۹.۱ از ۱۰ برآورد نموده است. این شرکت عنوان کرد که متداول‌ترین نشانه‌ برای یک حمله موفق، بلافاصله منجر به System Crash، Blue Screen of Death می‌گردد.

کاربران باید اطمینان حاصل نمایند که آخرین نسخه به‌روز‌رسانی را برای محصولات آنتی‌ویروس Symantec نصب نموده‌اند؛ همچنین آنها می‌توانند نسخه AVE را با استفاده از دستورالعمل‌های آموزشی در وب‌سایت پشتیبانی Symantec کنترل و بررسی نمایند.

این مورد یکی از جدیدترین آسیب‌پذیری‌های حیاتی آنتی‌ویروس‌ها به شمار می‌رود که توسط Ormandy و دیگر محققان امنیتی در سال‌های اخیر کشف و شناسایی شده است. شرکت‌های ارائه دهنده آنتی‌ویروس به دلیل ادامه‌ی روند اجرای عملیات‌های پرخطر اسکن نمودن فایل ها، توسط اکثر محققان مورد انتقاد قرار می‌گیرند، زیرا این عملیات‌ها با استفاده از Kernel Privilege باعث بروز آسیب‌پذیری‌هایی می‌گردد.

بدون دیدگاه