Kritische Lücken in fast allen Antiviren-Produkten von Symantec und Norton
Ein Sicherheitsforscher warnt vor extrem gefährlichen Sicherheitslücken in Symantec Endpoint Protection, Norton 360 & Co. Wer Produkte der Firmen einsetzt, sollte umgehend reagieren.
Der Security-Experte Tavis Ormandy von Googles Project Zero ist auf kritische Sicherheitslücken in nahezu allen Antiviren-Produkten von Symantec und Norton gestoßen. Neben den Windows-Versionen sind auch die für Linux, OS X und UNIX betroffen. Über die Lücken können Angreifer ohne viel Aufwand Schadcode auf Computer schieben und ganze Netzwerke kompromittieren.
Die Schwachstellen klaffen bereits in den Standard-Konfigurationen, sodass jeder der ein Antiviren-Produkt der Firmen installiert hat, bedroht ist. Zudem setzt Symantec verwundbare Open-Source-Software in seiner Decomposer-Bibliothek ein, die seit sieben Jahren nicht aktualisiert wurde, erläutert Ormandy.
Schlimmer geht’s nicht. Doch …
Das prekäre dabei ist: Einige der Antiviren-Produkte lassen sich Ormandy zufolge nicht automatisch aktualisieren. Symantec hat bereits eine Sicherheits-Warnung veröffentlicht. Dort finden sich Anleitungen, wie man manuell Hotfixes für betroffene Antiviren-Produkte installiert.
Ormandys Proof of Concept funktioniert: Nachdem wir die Test-Datei auf das System kopierten, begrüßte uns der Blue Screen of Death.
Bildquelle: Screenshot
Ormandy warnt, dass die Anwendungen mit den höchstmöglichen Rechten laufen. WIndows führt den verwundbaren Code sogar im Kernel aus. Angreifer können so aus der Ferne Speicherfehler im Kernel provozieren. Auf UNIX-Systemen kann man immer noch Root-Rechte erlangen. Doch es kommt noch schlimmer: Eine Infektion soll von Computer zu Computer springen können und so über das Netzwerk oder sogar das Internet immer mehr Maschinen in Mitleidenschaft ziehen.
Angreifer sollen die Lücken Ormandy zufolge ausnutzen können, ohne dass ein Opfer etwas machen muss. In der Regel beginnt ein Angriff mit dem Aufrufen einer präparierte Webseite oder dem Öffnen eines Datei-Anhangs mit Schad-Code. Aufgrund der zentralen Position der AV-Software reicht in diesem Fall jedoch schon der Empfang einer E-Mail mit Schadcode im Datei-Anhang aus, um einen Angriff einzuleiten.
Hauptgefahr
Die Wurzel des Übels findet sich in der Engine der Antiviren-Produkte, die die Kompression von Malware-Entwicklern umkehrt, mit dem Angreifer ihren Schadcode verschleiern. Über diese Methode will ein Viren-Scanner schon im Vorfeld beurteilen, ob Gefahr von einer Datei ausgeht.
Konkret betrifft das Problem die Auspack-Routinen für ASPack. Ormandy empfiehlt den AV-Herstellern, die Unpacker in einer isolierten Sandbox laufen zu lassen. In ihren Tests haben die Sicherheitsforscher die Unpacker mit Datenpaketen von inkonsistenter Größe bombardiert und so einen Speicherfehler provoziert.
Heise Security konnte das mit der von Ormandy bereitgestellten Test-Datei unter Windows 10 mit einem frisch installierten Norton Security Premium nachvollziehen.
AV-Hersteller auf dem Kieker
Tavis Ormandy ist einer der Star-Hacker von Googles Project Zero. Er hat es vor allem auf Anbieter von Antiviren-Anwendungen abgesehen und das mit beträchtlichem Erfolg. Allein in diesem Jahr hat er unter anderem bereits eine kritische Lücke in Produkten von Symantec und Norton aufgedeckt und eine Hintertür in Trend-Micro-Produkten gefunden.
Quelle: http://heise.de/-3250784
Suche
Kategorien
- Brexit: IT-Branche bedauert Austritt der Briten aus der EU Freitag, 24. Juni 2016
- Google veröffentlicht Riesen-Patch-Paket für Android Freitag, 20. Januar 2017
- AVM entweicht geheimer FritzBox-Schlüssel Sonntag, 13. November 2016
- Erpressungs-Trojaner: Neue Locky-Welle infiziert Computer Freitag, 24. Juni 2016
- Upgrade auf Windows 10: Drückermethode wird noch aggressiver Dienstag, 31. Mai 2016
- Ho Ho Ho! Frohes Fest Freitag, 24. Dezember 2021
- Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen Montag, 13. Dezember 2021
- Bericht: Android-Trojaner GriftHorse kassiert bei über 10 Millionen Opfern ab Samstag, 2. Oktober 2021
- Achtung, dringender Handlungsbedarf: Ist Ihre UTM Firmware auf dem neuesten Stand? Dienstag, 21. September 2021
- Jetzt patchen! Kritische Lücke bedroht WordPress 3.7 bis 5.7 Mittwoch, 19. Mai 2021
- Fahed Fatnassi: Das Gerät vereint einen leistungsst... Mittwoch, 29. Juni 2016
- Ralf Küpper: geiles Bild aber die Speaker sind s... Mittwoch, 29. Juni 2016
- Detlef: Professionelle Beratung. Man nahm s... Mittwoch, 29. Juni 2016
- netzwerkstudio: Hochwertig verarbeitet, modular und... Mittwoch, 29. Juni 2016
- netzwerkstudio: Hervorragende Verarbeitung, sehr mo... Mittwoch, 29. Juni 2016