Een beruchte security-expert heeft 0-day gaten ontdekt in software van Kaspersky. Een andere onderzoeker gooit een vers gat in andere securitysoftware op straat en zegt er meer te hebben.
Soms kan securitysoftware zelf een risico vormen. De bekende security-onderzoeker Tavis Ormandy heeft afgelopen week grote gaten ontdekt in versies 15 en 16 van de beveiligingssoftware van Kaspersky Lab. Vlak voor het Amerikaanse lange vakantieweekend met Labor Day op maandag heeft hij contact gelegd met de softwarefabrikant. Die heeft binnen een etmaal een fix uitgebracht voor deze buffer overflow en bedankt de ontdekker in een officiële verklaring, meldt securityblogger Graham Cluley. Ormandy heeft echter nog meer gaten gevonden.
Makkelijk misbruikbaar
De security-expert heeft die tweede lading 0-day gaten ook gemeld bij Kaspersky. In beide gevallen gaat het om kwetsbaarheden die zijn te misbruiken om malware binnen te laten komen op computers waar die beveiligingssoftware op draait. Ormandy, die in dienst is bij Google, stelt dat de gaten op afstand zijn te misbruiken zonder dat er ook maar enige handeling door de eindgebruiker nodig is. De gaten zijn bovendien aanwezig in de default installatie en configuratie van de securitysoftware.
Misbruik kan dan ook op diverse manieren worden gepleegd, bevestigt Ormandy. Kwaadwillenden kunnen een specifiek aangemaakt netwerkpakket afvuren op kwetsbare computers, ze kunnen slachtoffers een malafide plaatje voorschotelen bijvoorbeeld via een e-mail of tweet, of ze kunnen slachtoffers een geprepareerde webpagina of website laten bezoeken. De malware-infectie via de securitysoftware kan vervolgens volautomatisch en ongemerkt plaatsvinden.
18 maanden oud
Naast Ormandy en Kaspersky is er nu nog een beveiligingspakket kwetsbaar voor malware: de securitysoftware en -appliance van FireEye. De dreiging is hierbij groter, omdat de ontdekker informatie over één gat publiekelijk bekend heeft gemaakt. Security-onderzoeker Kristian Erik Hermansen zegt nog drie andere 0-day gaten te hebben ontdekt, meldt securitynieuwssite CSO. Die drie nog geheim gehouden gaten biedt hij te koop aan.
Dit klinkt als afpersing, maar Hermansen zegt dat hij deze 0-days al anderhalf jaar geleden heeft ontdekt en toen heeft aangeklopt bij de fabrikant. Daarna is er volgens hem niets gebeurd. “Ik heb 18 maanden lang geprobeerd samen te werken met FireEye via communicatiekanalen voor ‘responsible disclosure’ en ze hebben elke keer tegengewerkt”, vertelt de ontdekker aan CSO. Hij argumenteert dat deze kwetsbaarheden geopenbaard moeten worden omdat de securityproducten van FireEye vol kwetsbaarheden zitten.
Nog dertig gaten?
Hermansen claimt samen met collega Ron Perris wel dertig zwakke plekken te hebben gevonden in FireEye’s software, inclusief meerdere die op afstand diepgaande (root) systeemtoegang geven. FireEye meldt in een verklaring dat het zich door de openbaarmaking door Hermansen bewust is van vier potentiële securitykwesties en dat het de zaak onderzoekt.