Антивирусы под прицелом #2: взлом BitDefender и серьезные уязвимости в Symantec
Не так давно мы писали о том, что британские спецслужбы взламывали антивирусные продукты «Лаборатории Касперского», а исследователи из Google (Project Zero) — нашли серьезную уязвимость в продукте ESET NOD32. И надо сказать, что проблемы антивирусных компаний на этом не закончились. 31 июля СМИ растиражировали новость о хакерской атаке, которая привела к краже учетных данных пользователей продуктов BitDefender, кроме того, в этот же день появилась информация об обнаружении целого ряда серьезных уязвимостей в защитном софте компании Symantec.
Уязвимости в Symantec Endpoint Protection
31 июля в блоге немецкой ИБ-компании Code White появилась информация о ряде серьезных уязвимостей в продукте Symantec Endpoint Protection. Среди обнаруженных ошибок безопасности продукта Endpoint Protection Manager возможность обхода аутентификации (CVE-2015–1486), повышения привилегий (CVE-2015–1489), чтения и записи файлов (CVE-2015–1487, CVE-2015–1488, CVE-2015–1490), а также осуществления SQL-инъекций (CVE-2015–1491). В Endpoint Client также обнаружена уязвимость, позволяющая осуществлять выполнение произвольного кода (CVE-2015–1492).
В посте Code White подробно описан процесс проникновения в систему, повышения привилегий и последующего выполнения кода.
Атака на BitDefender
Значительно более резонансным событием стала атака на антивирусную компанию BitDefender. При этом главной причиной шумихи в СМИ стал даже не сам факт взлома, а то, что пароли пользователей, которые удалось похитить злоумышленникам, хранились в открытом виде.
Несмотря на то, что информация о взломе BitDefender попала в СМИ 31 июля, сама атака была осуществлена раньше. Так 24 июля пользователь под ником DetoxRansome обратился к BitDefender с требованием выплатить ему $15 тыс… В противном случае, он грозился опубликовать базу «слитых» учетных записей:
Как сообщил профильный блог Hacker Film, 25 июля хакер предпринял еще одну попытку монетизировать осуществленный им взлом — на одном из специализированных форумов он выложил часть украденных логинов и паролей (которые были не зашифрованы, позднее сам хакер подтвердил Forbes, что учетные записи хранились в таком виде изначально).
Позднее хакер опубликовал сообщение о том, что с помощью украденных учетных записей ему удалось проникнуть в системы многих энетрпрайз-клиентов BitDefender. В качестве подтверждения своих слов он опубликовал скриншоты панели аналитики компаний, использовавших антивирусные продукты BitDefender:
Представители BitDefender позднее подтвердили, что опубликованные данные — это действительно активные аккаунты пользователей (компания сбросила пароли для всех пользователей, чьи аккаунты утекли в сеть). Компания также отказалась платить хакеру и «незамедлительно исправила проблему, предприняв меры по недопущению подобных происшествий в будущем».