Mellékleteink: HUP | Gamekapocs
Keres

Durva zero-day hibát javított a FireEye

Voith Hunor, 2015. december 16. 18:25
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A sérülékenységre a Google Project Zero szakemberei találtak rá, a FireEye nagyon gyorsan reagált: az átmeneti javítást órákon belül, a végleges javítást pedig két nap elteltével tette közzé.

Kritikus sérülékenységre bukkant a Google híres Project Zero biztonsági kutatócsapatának két tagja, Tavis Ormandy és Natalie Silvanovich a FireEye több termékcsaládjában. A hibát a szakemberek december 4-én fedezték fel a szakemberek, a FireEye pedig annak súlyossága miatt néhány órán belül kiadott egy átmeneti javítást, december 7-én pedig egy további frissítéssel végleg befoltozta a biztonsági rést. A sérülékenység az NX, EX, AX, FX sorozatú termékeket érintette, illetve érinti – azoknál a vásárlóknál, akik nem engedélyezték az automatikus frissítést.

Az említett FireEye eszközök a vevők belső informatikai hálózatában specializált, passzív forgalomfigyelést- és elemzést végeznek, és kiemelt hozzáférési státuszuk miatt rendkívül nagyértékű célpontnak számítanak. Ha egy támadó távoli kódfuttatásra tud jogosultságot szerezni egy ilyen gépen, megütheti a főnyereményt: rengeteg értékes információhoz férhet hozzá, a jogosultság szintjétől függően pedig a kompromittált FireEye-gép teljes eszköztárát bevetheti saját céljai érdekében – esetleg további támadó eszközökkel kiegészítve.

A Project Zero szakértői az NX 7500 statikus fájlelemzéséért felelős alrendszerében, a MIP működésében (Malware Input Processor) találtak hibát. Ez a modul különböző, több esetben nyílt forrású programok és pluginek használatával bontja ki és ellenőrzi az elemezni kívánt állományokat – a JAR (Java Archive) fájlokat például a jarsigner és a JODE segítsétével. Utóbbi egy kódvisszafejtő, és saját virtuális gépet is tartalmaz a string deobfuszkációhoz szükséges bájtkód-futtatáshoz. A Google "zérósok" a JODE forráskódját vizsgálva ismerték fel, hogy a program egy megfelelően szerkesztett JAR állománnyal tetszőleges kód futtatására vehető rá.

Igazi problémává mindezt az a tényező emeli, hogy a FireEye a fent említett segédprogramok futtatásakor nem használ homokozó (sandboxing) mechanizmust, így azok teljes hozzáféréssel rendelkeznek az eszköz erőforrásaihoz. A távoli kódfuttatással elért eredménynek így csak a jogosultság lehetőségei szabnak határt. Persze a segédprogramok nem rootként futnak, de Ormandy és Silvanovich egy, a FireEye kérésére egyelőre titokban tartott, de szerintük egyszerű jogosultságemeléses módszerrel root jogkört szereztek.

A Project Zero szakértői szerint a FireEye (nem meglepő módon) teljes mértékben együttműködött velük, a vizsgálathoz használt eszközt is a cég biztosította. A FireEye továbbá az aktív terméktámogatással már nem rendelkező vevőinél is segít elhárítani a sérülékenységet – az ilyen kéréseket a cég a support@fireeye.com címre várja.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.