Sophos Antivirus mit kritischen Lücken

Sophos Antivirus hat laut einem Sicherheitsforscher einige kritische Sicherheitslecks. Zudem soll die Lösung einige Sicherheitsfunktionen in Windows deaktivieren, wie er in einem Papier beschreibt.

Sophos Antivirus ist, so der Sicherheitsforscher Tavis Ormandy in seinem seinen Paper ist nicht sehr sicher. Daher rät er nach seiner Auswertung Unternehmen, Sophos Antivirus Produkte lediglich in nicht kritischen Umgebungen einzusetzen. Inzwischen hat Sophos aber die meisten der angesprochenen Sicherheitslücken behoben, wie das Unternehmen in einem Blog mitteilt. In einem älteren Paper hatte sich Ormandy bereits mit der Sicherheit der Sophos-Produkte auseinander gesetzt.

Ormandy arbeitet als Sicherheitsexperte für Google, betont jedoch, dass er in dem “Sophail: Applied attacks against Sophos Antivirus” lediglich seine private Meinung wiedergebe. In dem Papier dokumentiert Ormandy ein Proof of Concept für ein PDF-Parsing-Leck, das sich laut Ormandy auch ohne Nutzer-Interaktion ausführen lässt.

Darüber hinaus scheint es in Sophos Antivirus Lecks beim Parsen von Visual Basic 6, RAR-, CAB- und PDF-Dateien zu geben. Diese Lecks lassen sich remote ausnutzen und erlauben das Ausführen von beliebigem Code. In seiner Dokumentation bezieht sich Ormandy auf die Mac-Version von Sophos. Jedoch seien die Versionen für Linux und Windows ebenfalls von diesen Lecks betroffen und die Exploits, die er beschreibt, seien leicht auf andere Plattformen portierbar.

Besonders schwerwiegend sei laut Ormandy das PDF-Parsing-Leck in Sophos Antivirus, das sich schlicht über eine Mail verbreiten lässt. Es ermöglicht, dass sich ein Wurm über Outlook verbreitet. Und das auch ohne, dass ein Nutzer eine Mail oder einen Anhang öffnet. Denn der Exploit kann sich auch ohne Interaktion verbreiten. Aber auch durch das Öffenen einer Datei oder über eine manipulierte Webseite könne der Schadcode ausgeführt werden. “Jede Methode, die ein Hacker verwenden kann, um I/O anzustoßen, reicht aus, um diese Schwachstelle auszunutzen”, erklärt der Sicherheitsforscher.

Sophos_Antivirus hebelt die Same Origin Policy aus
Sophos Antivirus hebelt die Same Origin Policy aus, wie Tavis Ormandy in einem Forschungsbericht darstellt. Quelle: Ormandy

Zudem deaktiviere Sophos Antivirus einige Sicherheitsfunktionen, die Windows mitbringt. So zum Beispiel wird der Protected Mode im Internet Explorer deaktiviert. Ein Template, das dafür sorgt, dass Blacklist-Warnungen dargestellt werden, könne über eine Cross-Site-Scritpting-Lücke dafür genutzt werden, um die Sicherheitskomponente Same Origin Policy des Browsers zu umgehen. Ohne diesen Schutz könne jede Webseite mit dem Intranet, Mail oder dem Registrar kommunizieren und interagieren.

Das Feature Buffer Overflow Protection System (BOPS) in Sophos Antivirus deaktiviert eine Sicherheitsfunktion in Windows, die das Risiko von Adress Space Layout Randomization minimieren soll.

Ormandy hatte seine Ergebnisse bereits im Vorfeld an Sophos mitgeteilt. Wie das Unternehmen im Blog erklärt, wurden in einer Aktualisierung am 5. November bereits einige Lecks geschlossen. Weitere Lecks, die Ormandy bisher nicht veröffentlicht hatte, sollen in einem weiteren Patch am 28. November geschlossen werden.