Google: Falha no antivírus da Symantec não poderia ser pior

A Google tem a Symantec debaixo de fogo. Os analistas apontam para uma falha grave nos produtos da Symantec que desencadeia um exploit apenas quando se recebe um e-mail.

Segundo Tavis Ormandy, um hacker inglês que trabalha na equipa da Google "estas vulnerabilidades são tão más que pior seria impossível. Ao que parece poderão levar a consequências potencialmente devastadoras".

A equipa da Google "project zero", é um grupo de analistas de segurança encarregados de caçar vulnerabilidades nos computadores que descobriu muitas vulnerabilidades críticas nos produtos de segurança da Symantec e Norton. As falhas permitem que os hackers possam comprometer completamente os computadores das pessoas enviando-lhes, simplesmente, o código de auto-replicação malicioso através de e-mails fechados ou links por clicar.

Symantec debaixo de fogo da Google

Os analistas ficaram estupefactos com estas falhas que afectam milhões de pessoas clientes nas suites de segurança da empresa, que ironicamente deveriam proteger os seus dispositivos. Na verdade, as 17 falhas encontradas no produtos de marca Symantec e 8 de consumo e produtos de pequenas empresas com a marca Norton, estão totalmente abertas para o ataque.

These vulnerabilities are as bad as it gets and have potentially devastating consequences.

Referiu Tavis Ormandy, o hacker inglês que trabalha para a Google.

Como podemos ler no blog da Google, um invasor pode facilmente comprometer de forma total o parque informático de uma empresa recorrendo a uma vulnerabilidade deste tipo. Ele refere também que "os administradores de rede devem manter cenários como este em mente ao decidir implantar Antivírus, é um compromisso significativo em termos de aumento da superfície de ataque."

Depois do artigo publicado pelo hacker, a Symantec deu crédito às suas palavras e emitiu um alerta:

Um invasor pode potencialmente executar código arbitrário enviando um ficheiro especialmente criado para o utilizador.

Logo de seguida a empresa deixou a certeza que está atenta ao problema e que irá resolver com actualizações aos seus produtos.

Como funciona esta vulnerabilidade?

Neste caso reportado e que foi encontrado nos vários produtos da empresa, as vulnerabilidades afectam o "motor de descompactação" que é usado pelos sistemas de segurança para descompactar os ficheiros compactados. Este sistema vasculha dentro dos ficheiros compactados para procurar malware e o mesmo motor é usado em todos os produtos da Symantec. Ormandy escreve que "é extremamente desafiante fazer um código seguro para este tipo de ferramenta".

Para evitar tais problemas, Ormandy recomenda que os fornecedores de segurança recorram a uma sandbox, técnica que corre o código suspeito num ambiente seguro, virtual, bem como aplica estratégias de desenvolvimento de software de primeira segurança.

Ormandy, demonstrou ainda que as falhas podem ser exploradas para propagar worms, ou seja, tornar viral esta forma infecciosa de malware. Apenas basta enviar à vítima um email com um ficheiro ou um link, sendo tal procedimento suficiente para provocar o "buraco" e accionar o esquema. A vítima nem precisa de abrir o ficheiro ou interagir com ele de qualquer maneira. Podem ver aqui a lista de bugs.

O que devem fazer os utilizadores com software comprometido?

Os clientes dos produtos Symantec devem, o mais rápido possível, visitar o site da empresa para se informarem que produtos já foram actualizados automaticamente e quais requerem uma actualização manual.

Google Blog