موتور آنتیویروس Symantec که در چند محصول این شرکت استفاده شده است، دارای یک نوع آسیبپذیری میباشد که به راحتی کامپیوترها را در معرض خطر هکرها قرار میدهد.
این نقص در AVE یا موتور آنتیویروس Symantec نسخه 20151.1.1.4 که به تازگی ارائه شده، رفع گردیده است. این آسیبپذیری در هنگام بررسی فایلهای اجرایی با Headerهای ناقص پدید میآید و شامل شرایط سرریز بافر (Buffer Overflow) میباشد.
طبق اظهارات Tavis Ormandy، مهندس امنیت گوگل که این نقص را شناسایی نموده است، آسیبپذیری ذکر شده، میتواند به صورت Remote با اجرای کدهای مخرب بر روی کامپیوتر کاربر Exploit گردد. Attackerها می توانند با ارسال یک فایل مخرب در ضمیمه ایمیل و یا با ترغیب کاربران برای کلیک نمودن بر روی یک لینک مخرب، به سیستم آنها نفوذ نمایند.
نکته قابل توجه آن است که در این فرآیند نیازی به اجرای فایل مخرب نمی باشد، زیرا موتور آنتیویروس از یک درایور برای قطع (Intercept) کلیه عملیاتهای ورودی و خروجی سیستم استفاده نموده و فایل را به محض رسیدن به سیستم فایل به صورت خودکار اسکن مینماید.
اگر فایلی پس از بررسی Header به عنوان یک فایل اجرایی پورتابل شناسایی گردد که با ASPack (ابزار فشردهسازی تجاری) فشردهسازی شده است، پسوند آن فایل اهمیتی نخواهد داشت. بدترین حالت آن است که Symantec AVE، چنین فایلهایی را در داخل Kernel، که یک محدوده با دسترسی بالا در سیستم عامل می باشد، Unpack نماید. به عبارت دیگر یک Exploitation موفق، موجب به خطر افتادن کل سیستم گردد.
Ormandy اظهار داشت که این موضوع، در پلتفرمهای Linux، Mac و سایر پلتفرمهای Unix موجب سرریز هیپ (Heap Overflow) از راه دور به عنوان Root در فرآیند Symantec یا Norton میگردد. وی افزود: این مساله در ویندوز موجب تخریب حافظه Kernel میگردد، زیرا موتور اسکن روی Kernel بارگذاری شده و باعث آسیبپذیری تخریب حافظه Remote Ring0 میشود و این بدترین حالتی است که ممکن است رخ دهد.
Symantec، شدت این آسیبپذیری را در (Common Vulnerability Scoring System (CVSS حدود 9.1 از 10 برآورد نموده است. این شرکت عنوان کرد که متداولترین نشانه برای یک حمله موفق، بلافاصله منجر به System Crash، Blue Screen of Death میگردد.
کاربران باید اطمینان حاصل نمایند که آخرین نسخه بهروزرسانی را برای محصولات آنتیویروس Symantec نصب نمودهاند؛ همچنین آنها میتوانند نسخه AVE را با استفاده از دستورالعملهای آموزشی در وبسایت پشتیبانی Symantec کنترل و بررسی نمایند.
این مورد یکی از جدیدترین آسیبپذیریهای حیاتی آنتیویروسها به شمار میرود که توسط Ormandy و دیگر محققان امنیتی در سالهای اخیر کشف و شناسایی شده است. شرکتهای ارائه دهنده آنتیویروس به دلیل ادامهی روند اجرای عملیاتهای پرخطر اسکن نمودن فایل ها، توسط اکثر محققان مورد انتقاد قرار میگیرند، زیرا این عملیاتها با استفاده از Kernel Privilege باعث بروز آسیبپذیریهایی میگردد.