Sophos saboteert Windows' exploitbescherming

Fouten in Sophos' securitysoftware blijken bestaande exploitbescherming van Windows uit te hebben geschakeld. Ten gunste van een eigen alternatief, dat "in wezen nutteloos is".


Beveiligingsleverancier Sophos biedt voor Windows-computers een eigen exploitbescherming, die misbruik van geheugenposities moet voorkomen. Dit zogeheten Buffer Overflow Protection (BOPS) is ook voor Windows-versies die Microsofts exploitbescherming ASLR (address space layout randomization) missen. Zoals het nog altijd veelgebruikte Windows XP.

Op afstand zˇ te hacken

BOPS blijkt echter op nieuwere Windows-versies het ingebouwde ASLR uit te hebben geschakeld. Dit heeft security-onderzoeker Tavis Ormandy ontdekt die Sophos flink de les leest over beveiliging. Hij stelt dat het bedrijf "substandaard security" levert en openbaart diverse gaten in de software die computers juist moet beschermen. Onder de kwetsbaarheden bevinden zich ook mogelijkheden om systemen die Sophos-software draaien op afstand volautomatisch te kunnen hacken.

Een andere bevinding van Ormandy is dat Sophos' exploitbescherming de standaardbeveiliging van Windows Vista en 7 vermindert. "Het doel van BOPS (hoewel het niet werkt) is om een faux-ASLR implementatie te bieden voor Windows XP. Sophos levert dit product op andere platformen maar het is [daar - red.] in wezen een no-op", schrijft de security-expert in zijn tweede onderzoeksrapport (PDF) over Sophos. De functie is dus niet geactiveerd.

Veilig Windows toch te exploiten

Terwijl de eigen exploitbescherming niet actief is op Windows-versies van na XP, schakelt het wel ASLR uit op platformen die dat aan boord hebben. Deze uitschakeling "staat aanvallers toe om betrouwbare exploits te ontwikkelen voor wat anders veilige systemen zouden zijn". De dynamische toewijzing van geheugenruimte aan draaiende processen is dus afwezig, waardoor vaste en voorspelbare geheugenadressen worden gebruikt. Malwaremakers kunnen hierdoor na een buffer overflow hun eigen, kwaadaardige code uitvoeren in die geheugenruimte.

Ormandy stelt dat Sophos' BOPS functioneel slechter is dan het Windows-systeem dat het wil vervangen, of waarvoor het op XP een alternatief biedt. Op de 32-bit variant van Windows XP werkt het volgens hem niet eens. Hij kraakt ook kritische noten over Sophos' implementatie van random geheugentoewijzing op Mac OS X.

'Vanwege prestatieniveau'

De ontdekker heeft de beveiligingsleverancier in september op de hoogte gebracht. In reactie op het risico van de ASLR-uitschakeling heeft hij de verklaring gekregen dat het bewuste dll-bestand van Sophos zelf is gecompileerd zonder ASLR, "vanwege het prestatieniveau".

Sophos meldt in een gisteren gepubliceerde blogpost dat het deze "kwestie" op 22 oktober al heeft gerepareerd met een fix. Dat was 42 dagen nadat het bedrijf door Ormandy hierover is ge´nformeerd. De tijdsspanne van rapportage en oplossing is vandaag toegevoegd aan de blogpost over Ormandy's ontdekkingen.

De beveiligingsleverancier omschrijft het probleem als een issue met de BOPS-technologie in Sophos Anti-Virus for Windows en de manier waarop het werkt met ASLR op Windows Vista en nieuwere versies. Het benadrukt dat het geen misbruik van deze kwetsbaarheid heeft waargenomen.

Wraak?

Ormandy spreekt de aantijging tegen dat hij gebruikers onveilig maakt, en handelt uit wraak. Twee jaar terug heeft Sophos hem wel openlijk gehekeld voor het onthullen van een 0-day gat in Windows XP en Server 2003. In een vervolgblogpost is de Google-werknemer de schuld gegeven van website-exploits via dat gat.

De ontdekker had zijn publieke bekendmaking namelijk gedaan slechts vijf dagen nadat Microsoft door hem was ge´nformeerd. De Windows-producent heeft de security-expert ook gehekeld over zijn 'onverantwoorde onthulling'. Dit zou actief misbruik alleen maar in de hand werken. Tegenstanders van het stil houden van beveiligingsgaten wijzen er echter op dat dit leveranciers de optie geeft om publieke schande te vermijden Ún gaten lang open te laten staan.