Ha ki kellene választanom a kedvenc kutatási beszámolómat, Tavis Ormandy Sophail című műve minden bizonnyal a döntősök között lenne. Most megjelent a Sophos antivírus elemzésének második része, ami nem kevésbé arcpirító és szórakoztató mint az első darab.

A kutató egyrészt feltárt néhány memóriakorrupciót okozó problémát az antivírusmotor fájlfeldolgozó moduljaiban - ezekkel lényegében abban a pillanatban behódoltatható a Sophos védelmével támogatott gép, mikor az antivírus elkezdi elemezni a tetszőleges módon bejuttatott EXE, RAR, PDF, stb. fájlt (innentől fújhatjuk pl. a Reader X sandboxát). A felhasználónak meg sem kell nyitnia a fájlt, az on-access scanner egy kernel driveren keresztül minden I/O műveletet figyel, és átadja az adatokat a sérülékeny, legmagasabb jogosultsági szinten futó folyamatnak.

Ezeknél a problémáknál azonban (szvsz.) sokkal érdekesebb, hogy az új sérülékenységek bevezetése mellett hogyan bonthatja le a rosszul megtervezett AV a rendszer meglévő védelmeit is.

A Sophos először is saját puffer-túlcsordulás elleni védelmet szállít, ami röviden annyit csinál, hogy behúzatja a saját spéci DLL-jét minden új folyamatba, majd feketelistáz egy sor, ROP payload-ok által előszeretettel használt API hívást. Ez az egyébként nagyjából triviálisan megkerülhető védelem nem aktív jobb ASLR megvalósítással rendelkező rendszereken (Vista, Win7, stb.), de a DLL - amit (állítólag teljesítmény okokból) /DYNAMICBASE nélkül forgattak - attól még ezeken is betöltődik, ezzel gyakorlatilag hatástalanítva a rendszer ASLR-jét.

Másrészt a webről jövő kártevők elcsípése érdekében a víruskergető egy Layered Service Providerrel monitorozza a TCP/IP socketeket, a külső moduljait azonban egy alacsony integritásiu szinten írható könyvtárból tölti be. Ezzel gyakorlatilag hatástalanítja az új IE változatok Védett Módját is. Az LSP által a hálózati folyamba szúrt figyelmeztető oldal ezen kívül univerzális DOM XSS-el sebezhető, a megjelenített oldalra nem lesz érvényes a Same-Origin Policy sem. 

Hab a tortán, hogy a frissítési mechanizmus helyi jogosultságkiterjesztésre használható, a Windowson SYSTEM jogokkal rendszeresen fel-felébredő frissítő folyamat ugyanis egy bárki által írható könyvtárból tölti be a moduljait.

A Sophos megköszönte Ormandy munkáját, és nem győzik hangsúlyozni, hogy a felsorolt problémák aktív kihasználásával még nem találkoztak. A jogosultságkiterjesztés problémára ugyanakkor a módosítások listája nem tér ki.