Symantec Anti-Virus Engine bis 20151.1.0.32 aspack File SizeOfRawData Kernel Denial of Service

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
9.0$0-$5k0.00

Zusammenfassunginfo

Es wurde eine als kritisch klassifizierte Schwachstelle in Symantec Anti-Virus Engine bis 20151.1.0.32 entdeckt. Betroffen davon ist eine unbekannte Funktion der Komponente aspack File Handler. Durch das Beeinflussen des Arguments SizeOfRawData mit unbekannten Daten kann eine Denial of Service-Schwachstelle (Kernel) ausgenutzt werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-2208 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Desweiteren ist ein Exploit verfügbar. Die Ausprägung dieser Schwachstelle führt zu einem gewissen historischen Interesse an ihr. Als bestmögliche Massnahme wird Patching empfohlen.

Detailsinfo

In Symantec Anti-Virus Engine bis 20151.1.0.32 (Anti-Malware Software) wurde eine Schwachstelle ausgemacht. Sie wurde als sehr kritisch eingestuft. Hierbei betrifft es unbekannter Programmcode der Komponente aspack File Handler. Durch das Manipulieren des Arguments SizeOfRawData mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle (Kernel) ausgenutzt werden. CWE definiert das Problem als CWE-399. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

The kernel component in Symantec Anti-Virus Engine (AVE) 20151.1 before 20151.1.1.4 allows remote attackers to execute arbitrary code or cause a denial of service (memory access violation and system crash) via a malformed PE header file.

Entdeckt wurde das Problem am 16.05.2016. Die Schwachstelle wurde am 06.05.2016 durch Tavis Ormandy (taviso) von Google als Issue 820 / SYM16-008 in Form eines bestätigten Advisories (Blogspot) an die Öffentlichkeit getragen. Das Advisory kann von googleprojectzero.blogspot.com heruntergeladen werden. Die Veröffentlichung wurde in Zusammenarbeit mit dem Hersteller durchgeführt. Eine eindeutige Identifikation der Schwachstelle wird seit dem 02.02.2016 mit CVE-2016-2208 vorgenommen. Die Schwachstelle ist relativ beliebt, was unter anderem auf ihre geringe Komplexität zurückzuführen ist. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 11.10.2024). Diese Schwachstelle gilt aufgrund ihrer speziellen Ausprägung als historisch interessant. Das Advisory weist darauf hin:

ASPack is commercial packing software that’s been around for a long time, and Symantec has dedicated unpackers for a few older versions. Reviewing Symantec’s unpacker, we noticed a trivial buffer overflow when a section’s SizeOfRawData field is greater than SizeOfImage. When this happens, Symantec will allocate SizeOfImage bytes and then memcpy all available data into the buffer.

Ein öffentlicher Exploit wurde durch Tavis Ormandy (taviso) in Assembler programmiert und sofort nach dem Advisory veröffentlicht. Der Exploit wird unter bugs.chromium.org bereitgestellt. Er wird als proof-of-concept gehandelt. Als 0-Day erzielte der Exploit wohl etwa $25k-$100k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 19.05.2016 ein Plugin mit der ID 91261 (Symantec Antivirus Engine 20151.1.0.32 Malformed PE Header Parser Memory Access Violation (SYM16-008)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 370007 (Symantec Antivirus Engine Malformed PE Header Parser Memory Access Violation Vulnerability (SYM16-008)) zur Prüfung der Schwachstelle an. Der durch den Exploit genutzte Code gestaltet sich wie folgt:

VirtualAddress      equ 0x10000-0x08    ; VirtualAddress of section data, offset where copy starts.
SizeOfImage         equ 0x12000-0x0C    ; Size you want to allocate.
SectionPadding      equ 0x2000          ; SizeOfImage-VirtualAddress

    ; Section Headers
    db ".data", 0, 0, 0                 ; Name
    dd 0                                ; VirtualSize
    dd VirtualAddress                   ; VirtualAddress
    dd 0xffffffff                       ; SizeOfRawData
    dd __data                           ; PointerToRawData
    dd 0                                ; PointerToRelocations
    dd 0                                ; PointerToLinenumbers
    dw 0                                ; NumberOfRelocations
    dw 0                                ; NumberOfLinenumbers
    dd 0                                ; Characteristics
Das Advisory zeigt auf:
On Linux, Mac and other UNIX platforms, this results in a remote heap overflow as root in the Symantec or Norton process. On Windows, this results in kernel memory corruption, as the scan engine is loaded into the kernel (wtf!!!), making this a remote ring0 memory corruption vulnerability - this is about as bad as it can possibly get.

Die Schwachstelle lässt sich durch das Einspielen des Patches 20151.1.1.4 beheben. Das Problem kann zusätzlich durch den Einsatz von F-Secure, Kaspersky, McAfee, Panda oder Sophos als alternatives Produkt mitigiert werden. Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah 2 Wochen nach der Veröffentlichung der Schwachstelle. Symantec hat offensichtlich schnell reagiert. Weiterführend können Angriffe durch TippingPoint mittels dem Filter 24993 erkannt werden.

Unter anderem wird der Fehler auch in den Datenbanken von Exploit-DB (39835), Tenable (91261), SecurityFocus (BID 90653†), SecurityTracker (ID 1035903†) und Vulnerability Center (SBV-59440†) dokumentiert. Zusätzliche Informationen finden sich unter theregister.co.uk. VulDB is the best source for vulnerability data and more expert information about this specific topic.

Betroffen

  • Symantec Cloud/NAS Protection Engine
  • Symantec Email Security
  • Symantec Endpoint (Mac, Windows, Linux, UNIX)
  • Symantec Norton Antivirus (Mac, Windows)
  • Symantec Protection for SharePoint/Exchange/Notes
  • Symantec Scan Engine

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

Video

Öffne Video | Zeige mehr Videos

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 9.6
VulDB Meta Temp Score: 9.0

VulDB Base Score: 10.0
VulDB Temp Score: 9.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 9.1
NVD Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Name: Kernel
Klasse: Denial of Service / Kernel
CWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Tavis Ormandy (taviso)
Programmiersprache: 🔍
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 91261
Nessus Name: Symantec Antivirus Engine 20151.1.0.32 Malformed PE Header Parser Memory Access Violation (SYM16-008)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 800985
OpenVAS Name: Symantec Antivirus Engine Denial of Service Vulnerability (Windows)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍

Patch: 20151.1.1.4
Alternative: F-Secure/Kaspersky/McAfee/Panda/Sophos
TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS Version: 🔍

Timelineinfo

02.02.2016 🔍
06.05.2016 +94 Tage 🔍
06.05.2016 +0 Tage 🔍
16.05.2016 +10 Tage 🔍
16.05.2016 +0 Tage 🔍
16.05.2016 +0 Tage 🔍
16.05.2016 +0 Tage 🔍
16.05.2016 +0 Tage 🔍
17.05.2016 +1 Tage 🔍
17.05.2016 +0 Tage 🔍
18.05.2016 +1 Tage 🔍
19.05.2016 +1 Tage 🔍
19.05.2016 +0 Tage 🔍
11.10.2024 +3067 Tage 🔍

Quelleninfo

Hersteller: symantec.com

Advisory: Issue 820 / SYM16-008
Person: Tavis Ormandy (taviso)
Firma: Google
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍

CVE: CVE-2016-2208 (🔍)
GCVE (CVE): GCVE-0-2016-2208
GCVE (VulDB): GCVE-100-87424

OVAL: 🔍

SecurityFocus: 90653 - Symantec Antivirus Engine CVE-2016-2208 Memory Corruption Vulnerability
SecurityTracker: 1035903
Vulnerability Center: 59440 - Symantec Antivirus Engine Remote Code Execution via Malformed Portable-Executable Header Files, Critical

scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍

Eintraginfo

Erstellt: 18.05.2016 11:27
Aktualisierung: 11.10.2024 02:32
Anpassungen: 18.05.2016 11:27 (113), 20.07.2019 10:43 (6), 11.10.2024 02:32 (19)
Komplett: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!