Symantec Anti-Virus Engine até 20151.1.0.32 aspack File SizeOfRawData Kernel Negação de Serviço

CVSS Meta Pontuação TemporáriaPreço atual do exploit (≈)Nota de Interesse CTI
9.0$0-$5k0.00

Sumárioinformação

Foi detectada uma vulnerabilidade classificada como crítico em Symantec Anti-Virus Engine até 20151.1.0.32. Afectado é uma função desconhecida do componente aspack File Handler. A manipulação do argumento SizeOfRawData resulta em Negação de Serviço (Kernel). A vulnerabilidade é identificada como CVE-2016-2208. O ataque pode ser realizado remotamente. Além disso, há uma exploração disponível. Devido aos seus antecedentes e recepção, esta vulnerabilidade tem um impacto histórico. Recomenda-se a aplicação de um remendo para resolver este problema.

Detalhesinformação

Foi detectada uma vulnerabilidade classificada como crítico em Symantec Anti-Virus Engine até 20151.1.0.32. Afectado é uma função desconhecida do componente aspack File Handler. A manipulação do argumento SizeOfRawData resulta em Negação de Serviço (Kernel). A definição de CWE para a vulnerabilidade é CWE-399. A falha foi descoberta em 16/05/2016. Esta vulnerabilidade foi publicada 06/05/2016 por Tavis Ormandy (taviso) com Google como Issue 820 / SYM16-008 como Aconselhamento (Blogspot). O aconselhamento é partilhado para download em googleprojectzero.blogspot.com. A liberação pública foi coordenada com o fornecedor.

A vulnerabilidade é identificada como CVE-2016-2208. A atribuição do CVE aconteceu em 02/02/2016. O ataque pode ser realizado remotamente. Os detalhes técnicos estão disponíveis. A vulnerabilidade é relativamente popular. Além disso, há uma exploração disponível. A exploração foi divulgada ao público e pode ser utilizada. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. Devido aos seus antecedentes e recepção, esta vulnerabilidade tem um impacto histórico. O aconselhamento aponta para o seguinte:

ASPack is commercial packing software that’s been around for a long time, and Symantec has dedicated unpackers for a few older versions. Reviewing Symantec’s unpacker, we noticed a trivial buffer overflow when a section’s SizeOfRawData field is greater than SizeOfImage. When this happens, Symantec will allocate SizeOfImage bytes and then memcpy all available data into the buffer.

Encontra-se declarado como prova de conceito. É possível descarregar a exploração em bugs.chromium.org. Esperamos que o dia 0 tenha valido aproximadamente $25k-$100k. O código utilizado pela exploração é:

VirtualAddress      equ 0x10000-0x08    ; VirtualAddress of section data, offset where copy starts.
SizeOfImage         equ 0x12000-0x0C    ; Size you want to allocate.
SectionPadding      equ 0x2000          ; SizeOfImage-VirtualAddress


    ; Section Headers
    db ".data", 0, 0, 0                 ; Name
    dd 0                                ; VirtualSize
    dd VirtualAddress                   ; VirtualAddress
    dd 0xffffffff                       ; SizeOfRawData
    dd __data                           ; PointerToRawData
    dd 0                                ; PointerToRelocations
    dd 0                                ; PointerToLinenumbers
    dw 0                                ; NumberOfRelocations
    dw 0                                ; NumberOfLinenumbers
    dd 0                                ; Characteristics
A orientação observa:
On Linux, Mac and other UNIX platforms, this results in a remote heap overflow as root in the Symantec or Norton process. On Windows, this results in kernel memory corruption, as the scan engine is loaded into the kernel (wtf), making this a remote ring0 memory corruption vulnerability - this is about as bad as it can possibly get.
O scanner de vulnerabilidade Nessus fornece um plugin com o ID 91261 (Symantec Antivirus Engine 20151.1.0.32 Malformed PE Header Parser Memory Access Violation (SYM16-008)), que ajuda a determinar a existência da falha num ambiente alvo. É atribuído à família Windows. O plugin está a funcionar no contexto do tipo l. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 370007 (Symantec Antivirus Engine Malformed PE Header Parser Memory Access Violation Vulnerability (SYM16-008)).

A atualização se chama 20151.1.1.4. Pode-se considerar como alternativa F-Secure/Kaspersky/McAfee/Panda/Sophos. Recomenda-se a aplicação de um remendo para resolver este problema. Uma medida de mitigação foi publicada 2 semanas após a revelação da vulnerabilidade.

Adicionalmente, é possível identificar e bloquear esse tipo de ataque utilizando o TippingPoint e o filtro 24993. A vulnerabilidade consta ainda em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 90653), SecurityTracker (ID 1035903), Vulnerability Center (SBV-59440) e Tenable (91261).

Afetado

  • Symantec Cloud/NAS Protection Engine
  • Symantec Email Security
  • Symantec Endpoint (Mac, Windows, Linux, UNIX)
  • Symantec Norton Antivirus (Mac, Windows)
  • Symantec Protection for SharePoint/Exchange/Notes
  • Symantec Scan Engine

Produtoinformação

Tipo

Fabricante

Nome

Versão

Licença

Site

CPE 2.3informação

CPE 2.2informação

Vídeo

Abrir vídeo | Mostrar mais vídeos

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 9.6
VulDB Meta Pontuação Temporária: 9.0

VulDB Pontuação Base: 10.0
VulDB Pontuação Temporária: 9.0
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 9.1
NVD Vetor: 🔍

CVSSv2informação

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplexidadeAutenticaçãoConfidencialidadeIntegridadeDisponibilidade
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Nome: Kernel
Classe: Negação de Serviço / Kernel
CWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
Autor: Tavis Ormandy (taviso)
Linguagem de programação: 🔍
Descarregar: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HojeDesbloquearDesbloquearDesbloquearDesbloquear

Nessus ID: 91261
Nessus Nome: Symantec Antivirus Engine 20151.1.0.32 Malformed PE Header Parser Memory Access Violation (SYM16-008)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Context: 🔍

OpenVAS ID: 800985
OpenVAS Nome: Symantec Antivirus Engine Denial of Service Vulnerability (Windows)
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍

Qualys ID: 🔍
Qualys Nome: 🔍

Exploit-DB: 🔍

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Patch
Estado: 🔍

Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Tempo de atraso de exploração: 🔍

Patch: 20151.1.1.4
Alternativa: F-Secure/Kaspersky/McAfee/Panda/Sophos
TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS Versão: 🔍

Linha do tempoinformação

02/02/2016 🔍
06/05/2016 +94 dias 🔍
06/05/2016 +0 dias 🔍
16/05/2016 +10 dias 🔍
16/05/2016 +0 dias 🔍
16/05/2016 +0 dias 🔍
16/05/2016 +0 dias 🔍
16/05/2016 +0 dias 🔍
17/05/2016 +1 dias 🔍
17/05/2016 +0 dias 🔍
18/05/2016 +1 dias 🔍
19/05/2016 +1 dias 🔍
19/05/2016 +0 dias 🔍
11/10/2024 +3067 dias 🔍

Fontesinformação

Fabricante: symantec.com

Aconselhamento: Issue 820 / SYM16-008
Pessoa: Tavis Ormandy (taviso)
Empresa: Google
Estado: Confirmado
Confirmação: 🔍
Coordenado: 🔍

CVE: CVE-2016-2208 (🔍)
GCVE (CVE): GCVE-0-2016-2208
GCVE (VulDB): GCVE-100-87424

OVAL: 🔍

SecurityFocus: 90653 - Symantec Antivirus Engine CVE-2016-2208 Memory Corruption Vulnerability
SecurityTracker: 1035903
Vulnerability Center: 59440 - Symantec Antivirus Engine Remote Code Execution via Malformed Portable-Executable Header Files, Critical

scip Labs: https://www.scip.ch/en/?labs.20161013
Vários: 🔍

Entradainformação

Criado: 18/05/2016 11h27
Atualizado: 11/10/2024 02h32
Ajustamentos: 18/05/2016 11h27 (113), 20/07/2019 10h43 (6), 11/10/2024 02h32 (19)
Completo: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Discussão

Ainda sem comentários. Idiomas: pt + es + en.

Por favor, inicie sessão para comentar.

VoltarVisão GeralPróximo

Do you know our Splunk app?

Download it now for free!