De bekende hacker, die eerder grote gaten in Windows en Linux heeft ontdekt, spreekt in een tweet van "substandard security" in de beveiligingsproducten van Sophos. Ormandy heeft net zijn tweede onderzoekspaper afgerond naar de werking van Sophos' producten. Dat document is getiteld 'Practical Attacks against Sophos Antivirus' en bevat realistische aanvalsmogelijkheden waarbij hackers binnen kunnen komen via die securitysoftware.

Wormgevaar

Onder de opties bevinden zich een exploit die op afstand en zonder gebruikersinteractie valt te benutten. Dit gat valt volgens Ormandy binnen enkele dagen te verwerken in een worm, die dan volautomatisch rond kan gaan om computers te besmetten en over te nemen. "Ik zou beheerders van Sophos-producten aanraden om mijn bevindingen met spoed te bestuderen, en dan de aanbevelingen te implementeren", aldus de security-onderzoeker die in dienst is van Google.

Voor de variant van Sophos (versie 8.0.6) voor Mac OS X is al een werkende exploit beschikbaar. De technieken die daarin worden aangewend, zijn makkelijk over te hevelen naar Windows en Linux, schrijft Ormandy in zijn aankondiging op de Full-Disclosure mailinglijst. De achterliggende zwakke plekken zijn namelijk implementatiefouten in de software die kennelijk universeel zijn voor Sophos.

Trage reactie

Ormandy geeft aan dat hij sinds september al een werkende exploit heeft. Hij heeft Sophos ingelicht, maar het bedrijf zou hem twee maanden de tijd hebben gevraagd om zich voor te bereiden op de publicatie van zijn nieuwe paper. Sophos komt vandaag met een eigen verklaring over de zwakke plekken in zijn software die Ormandy heeft ontdekt.

Volgens de uitgesproken security-expert heeft het bedrijf wel wat middelen gewijd aan de door hem aangedragen problemen, maar "ze zijn duidelijk slecht in staat om om te gaan met de output van één meewerkende, niet-vijandige security-onderzoeker". Hij concludeert dat Sophos dus zó zou vallen voor de inspanningen van een goed onderlegde aanvaller in bijvoorbeeld overheidsdienst.

Diverse zwakke plekken

De inmiddels uitgekomen verklaring van Sophos somt de diverse zwakke plekken op. Voor sommige daarvan heeft de securityleverancier al updates uitgebracht, voor andere gebeurt dat vanaf vandaag. Onder de kwetsbaarheden bevinden zich verkeerde scans van malafide bestanden in diverse vormen en soorten: Visual Basic 6-bestanden, PDF-documenten, gecomprimeerde cab- en rar-bestanden.

Daarnaast meldt Sophos fouten in de bescherming tegen cross-site scripting (xss), de aansluiting op Windows' beveiligingstechnologie ASLR, en het gebruik van de protected mode in Internet Explorer. Dit omvat echter niet de totaliteit van Ormandy's ontdekkingen.

Updates vanaf eind november

De beveiligingsexpert heeft Sophos nog meer voorbeelden van malafide bestanden gegeven die de securitysoftware laat crashen, geeft het bedrijf aan in zijn blogpost. Dat crashen maakt mogelijk weer andere exploits mogelijk. "Deze [bestanden - red.] worden nu onderzocht door Sophos-experts." Het aanbieden van fixes hiervoor staat gepland om vanaf 28 november te beginnen.