Symantec Anti-Virus Engine до 20151.1.0.32 aspack File SizeOfRawData Kernel отказ в обслуживании

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
9.0$0-$5k0.00

СводкаИнформация

Уязвимость была найдена в Symantec Anti-Virus Engine до 20151.1.0.32. Она была объявлена как критический. Неизвестная функция компонента aspack File Handler используется. Осуществление манипуляции над аргументом SizeOfRawData приводит к отказ в обслуживании (Kernel). Выявление этой уязвимости является CVE-2016-2208. Атаку можно инициировать удаленно. Более того, эксплойт доступен. Это уязвимость имеет историческое значение из-за своего происхождения и восприятия. Рекомендуется применить исправление для устранения этой проблемы.

ПодробностиИнформация

Уязвимость была найдена в Symantec Anti-Virus Engine до 20151.1.0.32. Она была объявлена как критический. Неизвестная функция компонента aspack File Handler используется. Осуществление манипуляции над аргументом SizeOfRawData приводит к отказ в обслуживании (Kernel). Определение CWE для уязвимости следующее CWE-399. Уязвимость была обнаружена 16.05.2016. Информация о слабости была опубликована 06.05.2016 автором Tavis Ormandy (taviso) совместно с Google под номером Issue 820 / SYM16-008 как Консультация (Blogspot). Консультация представлена на сайте googleprojectzero.blogspot.com. Публичное раскрытие информации было согласовано с продавцом.

Выявление этой уязвимости является CVE-2016-2208. Присвоение CVE было выполнено 02.02.2016. Атаку можно инициировать удаленно. Технические детали доступны. Уровень популярности этой уязвимости превышает средний. Более того, эксплойт доступен. Эксплойт стал общедоступным и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Это уязвимость имеет историческое значение из-за своего происхождения и восприятия. Консультация указывает:

ASPack is commercial packing software that’s been around for a long time, and Symantec has dedicated unpackers for a few older versions. Reviewing Symantec’s unpacker, we noticed a trivial buffer overflow when a section’s SizeOfRawData field is greater than SizeOfImage. When this happens, Symantec will allocate SizeOfImage bytes and then memcpy all available data into the buffer.

Задано как Доказательство концепции. Эксплойт опубликован для скачивания на bugs.chromium.org. Мы ожидаем, что 0-день стоил приблизительно $25k-$100k. Код, используемый эксплойтом:

VirtualAddress      equ 0x10000-0x08    ; VirtualAddress of section data, offset where copy starts.
SizeOfImage         equ 0x12000-0x0C    ; Size you want to allocate.
SectionPadding      equ 0x2000          ; SizeOfImage-VirtualAddress


    ; Section Headers
    db ".data", 0, 0, 0                 ; Name
    dd 0                                ; VirtualSize
    dd VirtualAddress                   ; VirtualAddress
    dd 0xffffffff                       ; SizeOfRawData
    dd __data                           ; PointerToRawData
    dd 0                                ; PointerToRelocations
    dd 0                                ; PointerToLinenumbers
    dw 0                                ; NumberOfRelocations
    dw 0                                ; NumberOfLinenumbers
    dd 0                                ; Characteristics
В рекомендациях указано следующее:
On Linux, Mac and other UNIX platforms, this results in a remote heap overflow as root in the Symantec or Norton process. On Windows, this results in kernel memory corruption, as the scan engine is loaded into the kernel (wtf), making this a remote ring0 memory corruption vulnerability - this is about as bad as it can possibly get.
Сканер уязвимостей Nessus предоставляет плагин с ID 91261 (Symantec Antivirus Engine 20151.1.0.32 Malformed PE Header Parser Memory Access Violation (SYM16-008)), который помогает определить наличие изъяна в целевой среде. Ему присвоено семейство Windows. Данный плагин работает в контексте типа l. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 370007 (Symantec Antivirus Engine Malformed PE Header Parser Memory Access Violation Vulnerability (SYM16-008)).

Название патча следующее 20151.1.1.4. Возможной альтернативой является F-Secure/Kaspersky/McAfee/Panda/Sophos. Рекомендуется применить исправление для устранения этой проблемы. Потенциальная мера по устранению была доступна спустя 2 недели после публикации информации об уязвимости.

Данный тип атаки также может быть обнаружен и предотвращён с помощью TippingPoint и фильтра 24993. Информация об уязвимости также содержится в других базах данных уязвимостей: SecurityFocus (BID 90653), SecurityTracker (ID 1035903), Vulnerability Center (SBV-59440) и Tenable (91261).

Затронуто

  • Symantec Cloud/NAS Protection Engine
  • Symantec Email Security
  • Symantec Endpoint (Mac, Windows, Linux, UNIX)
  • Symantec Norton Antivirus (Mac, Windows)
  • Symantec Protection for SharePoint/Exchange/Notes
  • Symantec Scan Engine

ПродуктИнформация

Тип

Поставщик

Имя

Версия

Лицензия

Веб-сайт

CPE 2.3Информация

CPE 2.2Информация

Видео

Открыть видео | Показать больше видео

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 9.6
VulDB Meta Temp Score: 9.0

VulDB Базовый балл: 10.0
VulDB Временная оценка: 9.0
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 9.1
NVD Вектор: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Имя: Kernel
Класс: отказ в обслуживании / Kernel
CWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Автор: Tavis Ormandy (taviso)
Язык программирования: 🔍
Скачать: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Nessus ID: 91261
Nessus Имя: Symantec Antivirus Engine 20151.1.0.32 Malformed PE Header Parser Memory Access Violation (SYM16-008)
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Context: 🔍

OpenVAS ID: 800985
OpenVAS Имя: Symantec Antivirus Engine Denial of Service Vulnerability (Windows)
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Qualys ID: 🔍
Qualys Имя: 🔍

Exploit-DB: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Патч
Статус: 🔍

Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍
Задержка эксплуатации: 🔍

Патч: 20151.1.1.4
Альтернатива: F-Secure/Kaspersky/McAfee/Panda/Sophos
TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS Версия: 🔍

ХронологияИнформация

02.02.2016 🔍
06.05.2016 +94 дни 🔍
06.05.2016 +0 дни 🔍
16.05.2016 +10 дни 🔍
16.05.2016 +0 дни 🔍
16.05.2016 +0 дни 🔍
16.05.2016 +0 дни 🔍
16.05.2016 +0 дни 🔍
17.05.2016 +1 дни 🔍
17.05.2016 +0 дни 🔍
18.05.2016 +1 дни 🔍
19.05.2016 +1 дни 🔍
19.05.2016 +0 дни 🔍
11.10.2024 +3067 дни 🔍

ИсточникиИнформация

Поставщик: symantec.com

Консультация: Issue 820 / SYM16-008
Исследователь: Tavis Ormandy (taviso)
Организация: Google
Статус: Подтверждённый
Подтверждение: 🔍
Скоординированный: 🔍

CVE: CVE-2016-2208 (🔍)
GCVE (CVE): GCVE-0-2016-2208
GCVE (VulDB): GCVE-100-87424

OVAL: 🔍

SecurityFocus: 90653 - Symantec Antivirus Engine CVE-2016-2208 Memory Corruption Vulnerability
SecurityTracker: 1035903
Vulnerability Center: 59440 - Symantec Antivirus Engine Remote Code Execution via Malformed Portable-Executable Header Files, Critical

scip Labs: https://www.scip.ch/en/?labs.20161013
Разное: 🔍

ВходИнформация

Создано: 18.05.2016 11:27
Обновлено: 11.10.2024 02:32
Изменения: 18.05.2016 11:27 (113), 20.07.2019 10:43 (6), 11.10.2024 02:32 (19)
Завершенный: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Обсуждение

Комментариев пока нет. Языки: ru + be + en.

Пожалуйста, войдите в систему, чтобы прокомментировать.

ПредыдущийОбзорДалее

Want to stay up to date on a daily basis?

Enable the mail alert feature now!