Ein Sicherheitsforscher warnt vor extrem gefährlichen Sicherheitslücken in Symantec Endpoint Protection, Norton 360 & Co. Wer Produkte der Firmen einsetzt, sollte umgehend reagieren.

Der Security-Experte Tavis Ormandy von Googles Project Zero ist auf kritische Sicherheitslücken in nahezu allen Antiviren-Produkten von Symantec und Norton gestoßen. Neben den Windows-Versionen sind auch die für Linux, OS X und UNIX betroffen. Über die Lücken können Angreifer ohne viel Aufwand Schadcode auf Computer schieben und ganze Netzwerke kompromittieren.

Die Schwachstellen klaffen bereits in den Standard-Konfigurationen, sodass jeder der ein Antiviren-Produkt der Firmen installiert hat, bedroht ist. Zudem setzt Symantec verwundbare Open-Source-Software in seiner Decomposer-Bibliothek ein, die seit sieben Jahren nicht aktualisiert wurde, erläutert Ormandy.

Schlimmer geht’s nicht. Doch …

Das prekäre dabei ist: Einige der Antiviren-Produkte lassen sich Ormandy zufolge nicht automatisch aktualisieren. Symantec hat bereits eine Sicherheits-Warnung veröffentlicht. Dort finden sich Anleitungen, wie man manuell Hotfixes für betroffene Antiviren-Produkte installiert.

Ormandys Proof of Concept funktioniert: Nachdem wir die Test-Datei auf das System kopierten, begrüßte uns der Blue Screen of Death. Bildquelle: Screenshot

Ormandys Proof of Concept funktioniert: Nachdem wir die Test-Datei auf das System kopierten, begrüßte uns der Blue Screen of Death.
Bildquelle: Screenshot

Ormandy warnt, dass die Anwendungen mit den höchstmöglichen Rechten laufen. WIndows führt den verwundbaren Code sogar im Kernel aus. Angreifer können so aus der Ferne Speicherfehler im Kernel provozieren. Auf UNIX-Systemen kann man immer noch Root-Rechte erlangen. Doch es kommt noch schlimmer: Eine Infektion soll von Computer zu Computer springen können und so über das Netzwerk oder sogar das Internet immer mehr Maschinen in Mitleidenschaft ziehen.

Angreifer sollen die Lücken Ormandy zufolge ausnutzen können, ohne dass ein Opfer etwas machen muss. In der Regel beginnt ein Angriff mit dem Aufrufen einer präparierte Webseite oder dem Öffnen eines Datei-Anhangs mit Schad-Code. Aufgrund der zentralen Position der AV-Software reicht in diesem Fall jedoch schon der Empfang einer E-Mail mit Schadcode im Datei-Anhang aus, um einen Angriff einzuleiten.

Hauptgefahr

Die Wurzel des Übels findet sich in der Engine der Antiviren-Produkte, die die Kompression von Malware-Entwicklern umkehrt, mit dem Angreifer ihren Schadcode verschleiern. Über diese Methode will ein Viren-Scanner schon im Vorfeld beurteilen, ob Gefahr von einer Datei ausgeht.

Konkret betrifft das Problem die Auspack-Routinen für ASPack. Ormandy empfiehlt den AV-Herstellern, die Unpacker in einer isolierten Sandbox laufen zu lassen. In ihren Tests haben die Sicherheitsforscher die Unpacker mit Datenpaketen von inkonsistenter Größe bombardiert und so einen Speicherfehler provoziert.

Heise Security konnte das mit der von Ormandy bereitgestellten Test-Datei unter Windows 10 mit einem frisch installierten Norton Security Premium nachvollziehen.

AV-Hersteller auf dem Kieker

Tavis Ormandy ist einer der Star-Hacker von Googles Project Zero. Er hat es vor allem auf Anbieter von Antiviren-Anwendungen abgesehen und das mit beträchtlichem Erfolg. Allein in diesem Jahr hat er unter anderem bereits eine kritische Lücke in Produkten von Symantec und Norton aufgedeckt und eine Hintertür in Trend-Micro-Produkten gefunden.

Quelle: //heise.de/-3250784