Symantec Anti-Virus Engine fino 20151.1.0.32 aspack File SizeOfRawData Kernel denial of service

CVSS Punteggio Meta TempExploit Prezzo Attuale (≈)Punteggio di interesse CTI
8.6$0-$5k0.00

Un punto di criticita di livello estremamente critico è stato rilevato in Symantec Anti-Virus Engine fino 20151.1.0.32 (Anti-Malware Software). Riguarda una funzione sconosciuta del componente aspack File Handler. Attraverso l'influenza del parametro SizeOfRawData di un input sconosciuto per mezzo di una vulerabilità di classe denial of service. Questo ha un effetto su riservatezza, integrità e disponibilità.

Data di scoperta del problema 16/05/2016. La vulnerabilità è stata pubblicata in data 06/05/2016 da Tavis Ormandy (taviso) da Google con identificazione Issue 820 / SYM16-008 con un advisory (Blogspot) (confermato). L'advisory è scaricabile da googleprojectzero.blogspot.com. La pubblicazione è stata eseguita con il produttore. Questo punto di criticità è identificato come CVE-2016-2208. La vulnerabilità è relativamente apprezzata, a causa della bassa complessità. L'attacco può essere lanciato dalla rete. Per l'uso non è richiesta un'autentificazione. I dettagli tecnici e un pubblico metodo di utilizzo sono conosciuti. Lo sviluppo di questa vulnerabilità risulta storicamente interessante.

Un metodo di utilizzo è stato sviluppato da Tavis Ormandy (taviso) in Assembler ed è stata pubblicata immediatamente dopo il comunicato. L'exploit è scaricabile da bugs.chromium.org. È stato dichiarato come proof-of-concept. Per lo scanned Nessus, è disponibile un plugin, numero ID 91261 (Symantec Antivirus Engine 20151.1.0.32 Malformed PE Header Parser Memory Access Violation (SYM16-008)), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato. Il codice utilizzato dal exploit è:

VirtualAddress      equ 0x10000-0x08    ; VirtualAddress of section data, offset where copy starts.
SizeOfImage         equ 0x12000-0x0C    ; Size you want to allocate.
SectionPadding      equ 0x2000          ; SizeOfImage-VirtualAddress

    ; Section Headers
    db ".data", 0, 0, 0                 ; Name
    dd 0                                ; VirtualSize
    dd VirtualAddress                   ; VirtualAddress
    dd 0xffffffff                       ; SizeOfRawData
    dd __data                           ; PointerToRawData
    dd 0                                ; PointerToRelocations
    dd 0                                ; PointerToLinenumbers
    dw 0                                ; NumberOfRelocations
    dw 0                                ; NumberOfLinenumbers
    dd 0                                ; Characteristics

Applicando la patch 20151.1.1.4 è possibile eliminare il problema. Il problema può essere attenuato rimpiazzando il componente con F-Secure, Kaspersky, McAfee, Panda o Sophos come alternativa. Il miglior modo suggerito per attenuare il problema è applicare le correzioni al componente problematico. Una possibile soluzione è stata pubblicata 2 settimane dopo la pubblicazione della vulnerabilità.

La vulnerabilità è documentata anche nel database Tenable (91261) e Exploit-DB (39835).

Componente colpito

  • Symantec Cloud/NAS Protection Engine
  • Symantec Email Security
  • Symantec Endpoint (Mac, Windows, Linux, UNIX)
  • Symantec Norton Antivirus (Mac, Windows)
  • Symantec Protection for SharePoint/Exchange/Notes
  • Symantec Scan Engine

Prodottoinfo

Genere

Fornitore

Nome

Versione

Licenza

CPE 2.3info

CPE 2.2info

Video

Apri il video | Mostra altri video

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv3info

VulDB Punteggio meta-base: 9.6
VulDB Punteggio Meta Temp: 9.0

VulDB Punteggio di base: 10.0
VulDB Punteggio temporaneo: 9.0
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

NVD Punteggio di base: 9.1
NVD Vettore: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VettoreComplessitàAutenticazioneRiservatezzaIntegritàDisponibilità
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare
sbloccaresbloccaresbloccaresbloccaresbloccaresbloccare

VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍

NVD Punteggio di base: 🔍

Exploitinginfo

Nome: Kernel
Classe: Denial of service / Kernel
CWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍

Locale: No
Remoto: Si

Disponibilità: 🔍
Accesso: Pubblico
Stato: Proof-of-Concept
Autore: Tavis Ormandy (taviso)
Linguaggio Di Programmazione: 🔍
Scaricamento: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Previsione dei prezzi: 🔍
Preventivo attuale: 🔍

0-Daysbloccaresbloccaresbloccaresbloccare
Oggisbloccaresbloccaresbloccaresbloccare

Nessus ID: 91261
Nessus Nome: Symantec Antivirus Engine 20151.1.0.32 Malformed PE Header Parser Memory Access Violation (SYM16-008)
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 800985
OpenVAS Nome: Symantec Antivirus Engine Denial of Service Vulnerability (Windows)
OpenVAS File: 🔍
OpenVAS Family: 🔍

Exploit-DB: 🔍

Intelligence Sulle Minacceinfo

Interesse: 🔍
Attori Attivi: 🔍
Gruppi APT attivi: 🔍

Contromisureinfo

Raccomandazione: Patch
Stato: 🔍

Tempo di reazione: 🔍
0 giorni di tempo: 🔍
Tempo di esposizione: 🔍
Sfrutta il tempo di ritardo: 🔍

Patch: 20151.1.1.4
Alternative: F-Secure/Kaspersky/McAfee/Panda/Sophos
TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS Versione: 🔍

Sequenza temporaleinfo

02/02/2016 🔍
06/05/2016 +94 giorni 🔍
06/05/2016 +0 giorni 🔍
16/05/2016 +10 giorni 🔍
16/05/2016 +0 giorni 🔍
16/05/2016 +0 giorni 🔍
16/05/2016 +0 giorni 🔍
16/05/2016 +0 giorni 🔍
17/05/2016 +1 giorni 🔍
17/05/2016 +0 giorni 🔍
18/05/2016 +1 giorni 🔍
19/05/2016 +1 giorni 🔍
19/05/2016 +0 giorni 🔍
20/07/2019 +1157 giorni 🔍

Fontiinfo

Fornitore: symantec.com

Advisory: Issue 820 / SYM16-008
Riceratore: Tavis Ormandy (taviso)
Organizzazione: Google
Stato: Confermato
Confermato: 🔍
Coordinato: 🔍

CVE: CVE-2016-2208 (🔍)
OVAL: 🔍

SecurityTracker: 1035903
Vulnerability Center: 59440 - Symantec Antivirus Engine Remote Code Execution via Malformed Portable-Executable Header Files, Critical
SecurityFocus: 90653 - Symantec Antivirus Engine CVE-2016-2208 Memory Corruption Vulnerability

scip Labs: https://www.scip.ch/en/?labs.20161013
Varie: 🔍

Voceinfo

Data di creazione: 18/05/2016 11:27
Aggiornamenti: 20/07/2019 10:43
I cambiamenti: 18/05/2016 11:27 (113), 20/07/2019 10:43 (6)
Completa: 🔍

Discussione

Ancora nessun commento. Le Lingue: it + en.

Effettua il login per commentare.

PrecedenteVisione D'insiemeIl prossimo

Do you need the next level of professionalism?

Upgrade your account now!