Kaspersky, dalla Russia con bug

Il celebre antivirus russo soffre di un grave problema di sicurezza che potrebbe esporre gli utenti ad aggressioni esterne. Problemi, pur meno gravi, anche nell'antivirus BitDefender e nel firewall ZoneAlarm

Roma - Nel codice dei software antivirus della società russa Kaspersky Labs si cela una pericolosa vulnerabilità di sicurezza che potrebbe consentire ad un cracker di prendere il pieno controllo di un PC da remoto.

Il problema è stato scoperto dal ricercatore di sicurezza Alex Wheeler, che in questo advisory ha spiegato come il bug si annidi nella libreria antivirus utilizzata da diversi prodotti di Kaspersky, tra cui Anti-Virus 4.x e 5.x e SMTP-Gateway 5.x.

La vulnerabilità è causata da un errore di heap overflow nel codice della libreria che gestisce i file compressi ".CAB": un aggressore potrebbe approfittarne per creare uno speciale file CAB che, una volta aperto, esegua del codice a sua scelta.
FrSIRT, che ha assegnato alla falla un grado di pericolosità "critical", ha avvisato che il buco potrebbe essere sfruttato anche dai virus.

Nel momento in cui scriviamo Kaspersky non ha ancora rilasciato alcuna correzione al problema.

Negli scorsi giorni è stato scoperto un bug anche in altri due noti prodotti per la sicurezza: l'antivirus BitDefender e il firewall personale ZoneAlarm. Nel primo caso la falla, utilizzabile da remoto per eseguire comandi arbitrari, è causata da una non corretta gestione di certi formati di stringa quando viene generato il rapporto sulla scansione antivirus. Secunia ha spiegato in questo advisory che la vulnerabilità, classificata come "moderately critical", è presente solo se l'opzione Crea file di rapporto è attivata. Il problema interessa tutte le edizioni di BitDefender e le versioni 7.x, 8.x e 9.0.

Per quanto riguarda ZoneAlarm, il ricercatore di sicurezza Debasis Mohanty ha scoperto una potenziale breccia di sicurezza sfruttabile per spingere un programma ad accedere ad Internet bypassando il controllo del firewall. La debolezza affligge le versioni 5x e inferiori di ZoneAlarm e le versioni 5.5 e 6.0 di Check Point Integrity Client. Gli utenti dei prodotti commerciali di ZoneLabs possono risolvere il problema attivando la funzionalità Advanced Program Control o scaricando le ultime versioni aggiornate del software. Per la versione gratuita di ZoneAlarm non è al momento disponibile alcuna patch.

Update (ore 18,30) - Riceviamo e volentieri pubblichiamo le seguenti precisazioni di Kaspersky Italia:
- non è mai stato creato un exploit per tale vulnerabilità, neanche da parte di Wheeler;
- dal 29 settembre ogni eventuale tentativo di exploiting viene rilevato dal motore antivirus;
- il problema esiste e dovrebbe essere rilasciata la patch ufficiale (che è sotto test) stasera o domani.
TAG: sicurezza
35 Commenti alla Notizia Kaspersky, dalla Russia con bug
Ordina
  • certo è che lo fate dannare poveraccio me lo immagino con le borse sotto agli occhi la sigaretta in bocca e lo sguardo fisso sul monitor per leggere tante cavolate

    ==================================
    Modificato dall'autore il 05/10/2005 23.32.26
    non+autenticato
  • Si,si io vorrei sapere il Nav o il Macafee quanti buchi hanno!
    A bocca aperta   A bocca aperta
    non+autenticato
  • No sapete, ho installato qualche giorno fa la beta del Kaspersky Antivirus 2006 (tutto regolare.eheheheh) e più precisamente la 6.0.14.207 (che scade il 5 gennaio 06).

    Indi vorrei sapere se tale bug riguarda anche questa nuova versione o solo la precedente 5.0.xxx (son tante) che avevo installato (in trial) e poi acquistato nel Settembre 04.

    Se non risolvono...mi sa mi toccherà passare a qualcos'altro (non Symantec comunque)...anche se ho fiducia in Eugenio Kaspersky...che risolva la cosa quanto prima.

    Comunque se qualcuno più esperto, mi spiega che cosa provocherebbe sta falla, (in termini pratici...) mi farebbe un gran favore e non penso solo al sottoscritto!

    Saluti
    non+autenticato
  • - Scritto da: Anonimo
    > Indi vorrei sapere se tale bug riguarda anche
    > questa nuova versione o solo la precedente
    > 5.0.xxx (son tante) che avevo installato (in
    > trial) e poi acquistato nel Settembre 04.

    Il bug scoperto da Alex Wheeler riguarda una funzionalità di basso livello dei prodotti Kaspersky, quindi leggendo il documento si direbbe che sia condiviso non solo dal Kaspersky Antivirus 5.0.x ma potenzialmente da molti altri. Secondo http://secunia.com/advisories/17024 i prodotti vulnerabili sono:

    * Kaspersky Anti-Virus Personal 5.0
    * Kaspersky Anti-Virus Personal Pro 5.0
    * Kaspersky Anti-Virus 5.0 for Windows Workstations
    * Kaspersky Anti-Virus 5.0 for Windows File Servers
    * Kaspersky Personal Security Suite 1.1

    La routine interessata però è molto "comune" e IMHO è probabile che sia incorporata anche in Kaspersky 6.x. Non mi meraviglierei di vedere rilasciata a breve tempo una nuova sub sub versione.


    > Se non risolvono...mi sa mi toccherà passare a
    > qualcos'altro (non Symantec comunque)...anche se
    > ho fiducia in Eugenio Kaspersky...che risolva la
    > cosa quanto prima.

    Curiosamente proprio oggi è saltato fuori un altro heap overflow per Symantec:
    http://www.idefense.com/application/poi/display?id...
    Anche questo sfruttabile da remoto, forse anche con più facilità rispetto a quello di Kaspersky.

    > Comunque se qualcuno più esperto, mi spiega che
    > cosa provocherebbe sta falla, (in termini
    > pratici...) mi farebbe un gran favore e non penso
    > solo al sottoscritto!

    Non è esattamente il mio campo, quindi spero di non sparare cavolate eccessive. Cercherò di essere il meno tecnico possibile.

    Premessa: cos'è l'heap? E' la zona di memoria assegnata ad un programma in seguito a chiamate a malloc(). In parole semplici è dove vengono memorizzati i dati creati "al volo" dal programma (che i puristi mi perdonino le imprecisioni).
    Cos'è l'heap overflow? L'heap overflow consiste nel riempire con dati appositamente studiati l'heap fino a "tracimare" dai suoi confini (da cui il nome "overflow") sovrascrivendo dati a cui non si dovrebbe avere accesso. Un utente malizioso può sfruttare un heap overflow per modificare il codice che il programma dovrebbe eseguire, facendogli sostanzialmente fare quello che vuole.

    (Trovare una spiegazione molto "hands-on" su http://www.s0ftpj.org/bfi/online/bfi10/BFi10-10.ht... , un articolo un più approfondito è http://www.w00w00.org/files/articles/heaptut.txt).

    Lo sfruttamento in pratica della vulnerabilità avviene così: dopo aver studiato il codice vulnerabile l'attacker crea un file compresso .cab (in questo caso) e lo scrive in modo che quando il Kaspersky lo legge causa un heap overflow ed esegue il codice da lui voluto (contenuto sempre all'interno del .cab).

    Agli occhi dell'utente il processo è pressocchè invisibile: il Kaspersky apre un file .cab e o crasha o non fa una piega. Sembra tutto ok, ma nel frattempo il codice iniettato dall'attacker è già in funzione e, per esempio, ha aperto una shell con privilegi di amministratore in ascolto su una porta a scelta. Questa non è l'unica possibilità, tutto sta alla fantasia/metodo/tecnica dell'attacker, il codice eseguito può fare (quasi) qualunque cosa.

    Va notato però che al momento non sono conosciuti proof-of-concept o exploit basati su questa vulnerabilità. Questo però non vuol dire che si possa dormire in tranquillità.


  • - Scritto da: IppatsuMan
    > - Scritto da: Anonimo
    > > Indi vorrei sapere se tale bug riguarda anche
    > > questa nuova versione o solo la precedente
    > > 5.0.xxx (son tante) che avevo installato (in
    > > trial) e poi acquistato nel Settembre 04.
    >
    > Il bug scoperto da Alex Wheeler riguarda una
    > funzionalità di basso livello dei prodotti
    > Kaspersky, quindi leggendo il documento si
    > direbbe che sia condiviso non solo dal Kaspersky
    > Antivirus 5.0.x ma potenzialmente da molti altri.
    > Secondo http://secunia.com/advisories/17024 i
    > prodotti vulnerabili sono:
    >
    > * Kaspersky Anti-Virus Personal 5.0
    > * Kaspersky Anti-Virus Personal Pro 5.0
    > * Kaspersky Anti-Virus 5.0 for Windows
    > Workstations
    > * Kaspersky Anti-Virus 5.0 for Windows File
    > Servers
    > * Kaspersky Personal Security Suite 1.1
    >
    > La routine interessata però è molto "comune" e
    > IMHO è probabile che sia incorporata anche in
    > Kaspersky 6.x. Non mi meraviglierei di vedere
    > rilasciata a breve tempo una nuova sub sub
    > versione.
    >
    >
    > > Se non risolvono...mi sa mi toccherà passare a
    > > qualcos'altro (non Symantec comunque)...anche se
    > > ho fiducia in Eugenio Kaspersky...che risolva la
    > > cosa quanto prima.
    >
    > Curiosamente proprio oggi è saltato fuori un
    > altro heap overflow per Symantec:
    > http://www.idefense.com/application/poi/display?id
    > Anche questo sfruttabile da remoto, forse anche
    > con più facilità rispetto a quello di Kaspersky.
    >
    > > Comunque se qualcuno più esperto, mi spiega che
    > > cosa provocherebbe sta falla, (in termini
    > > pratici...) mi farebbe un gran favore e non
    > penso
    > > solo al sottoscritto!
    >
    > Non è esattamente il mio campo, quindi spero di
    > non sparare cavolate eccessive. Cercherò di
    > essere il meno tecnico possibile.
    >
    > Premessa: cos'è l'heap? E' la zona di memoria
    > assegnata ad un programma in seguito a chiamate a
    > malloc(). In parole semplici è dove vengono
    > memorizzati i dati creati "al volo" dal programma
    > (che i puristi mi perdonino le imprecisioni).
    > Cos'è l'heap overflow? L'heap overflow consiste
    > nel riempire con dati appositamente studiati
    > l'heap fino a "tracimare" dai suoi confini (da
    > cui il nome "overflow") sovrascrivendo dati a cui
    > non si dovrebbe avere accesso. Un utente
    > malizioso può sfruttare un heap overflow per
    > modificare il codice che il programma dovrebbe
    > eseguire, facendogli sostanzialmente fare quello
    > che vuole.
    >
    > (Trovare una spiegazione molto "hands-on" su
    > http://www.s0ftpj.org/bfi/online/bfi10/BFi10-10.ht
    >
    > Lo sfruttamento in pratica della vulnerabilità
    > avviene così: dopo aver studiato il codice
    > vulnerabile l'attacker crea un file compresso
    > .cab (in questo caso) e lo scrive in modo che
    > quando il Kaspersky lo legge causa un heap
    > overflow ed esegue il codice da lui voluto
    > (contenuto sempre all'interno del .cab).
    >
    > Agli occhi dell'utente il processo è pressocchè
    > invisibile: il Kaspersky apre un file .cab e o
    > crasha o non fa una piega. Sembra tutto ok, ma
    > nel frattempo il codice iniettato dall'attacker è
    > già in funzione e, per esempio, ha aperto una
    > shell con privilegi di amministratore in ascolto
    > su una porta a scelta. Questa non è l'unica
    > possibilità, tutto sta alla
    > fantasia/metodo/tecnica dell'attacker, il codice
    > eseguito può fare (quasi) qualunque cosa.
    >
    > Va notato però che al momento non sono conosciuti
    > proof-of-concept o exploit basati su questa
    > vulnerabilità. Questo però non vuol dire che si
    > possa dormire in tranquillità.
    Bè però l'assiduo aggiornamento nell'arco della giornata del database del Kaspersky ha fatto si che tra le definizioni ci sia anche una definizione atta a bloccare tale codice malevolo e ciò non mi pare poco!
    non+autenticato
  • Ultimamente lo sto usando al posto di Zone Alarm.
    Voi che ne dite ?
    non+autenticato
  • - Scritto da: Anonimo
    > Ultimamente lo sto usando al posto di Zone Alarm.
    > Voi che ne dite ?

    In teoria buono ma mi pare che lasci passare qualcosa, e personalmente non digerisco l'interfaccia
    non+autenticato

  • - Scritto da: Anonimo
    > Ultimamente lo sto usando al posto di Zone Alarm.
    > Voi che ne dite ?

    sbaglio o a fine anno termina lo sviluppo della versiobe personal, ho letto e non sbaglio.....

    esiste an cora outpost.
  • Questo è un bel bug pericoloso...chiunque usa MDaemon come sever di posta su Win gli conviene disabilitare il controllo antivirus sul traffico perchè altrimenti tac, basta una mail ricevuta che porti l'exploit e zaaac, accesso al mailserver
    non+autenticato


  • - Scritto da: Anonimo
    > Questo è un bel bug pericoloso...chiunque usa
    > MDaemon come sever di posta su Win gli conviene
    > disabilitare il controllo antivirus sul traffico
    > perchè altrimenti tac, basta una mail ricevuta
    > che porti l'exploit e zaaac, accesso al
    > mailserver

    Kaspersky ha comunicato che da settembre ha inserito l'exploit nella definizione virale, quindi dovrebbe intercettare gli exploit e probabilmente (vista la potenza del loro motore euristico) anche eventuali varianti all'exploit o addirittura virus veri e propri che derivino dall'exploit.
    non+autenticato

  • - Scritto da: Anonimo
    >
    >
    > - Scritto da: Anonimo
    > > Questo è un bel bug pericoloso...chiunque usa
    > > MDaemon come sever di posta su Win gli conviene
    > > disabilitare il controllo antivirus sul traffico
    > > perchè altrimenti tac, basta una mail ricevuta
    > > che porti l'exploit e zaaac, accesso al
    > > mailserver
    >
    > Kaspersky ha comunicato che da settembre ha
    > inserito l'exploit nella definizione virale,
    > quindi dovrebbe intercettare gli exploit e
    > probabilmente (vista la potenza del loro motore
    > euristico) anche eventuali varianti all'exploit o
    > addirittura virus veri e propri che derivino
    > dall'exploit...

    ... in attesa della prossima falla. W gli anti-anti-virus
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 11 discussioni)