{"id":178813,"date":"2016-06-29T10:22:09","date_gmt":"2016-06-29T08:22:09","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=178813"},"modified":"2017-01-25T07:31:42","modified_gmt":"2017-01-25T06:31:42","slug":"symantec-fette-sicherheitslcke-in-virenscannern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/06\/29\/symantec-fette-sicherheitslcke-in-virenscannern\/","title":{"rendered":"Symantec: Fette Sicherheitslücke in Virenscannern"},"content":{"rendered":"

Neue Hiobsbotschaft f\u00fcr Symantec-Kunden, die auf Norton Antivirus- und Security-Suite-L\u00f6sungen setzen. Tavis Ormandy hat mal wieder fette Sicherheitsl\u00fccken in deren Produkten aufgedeckt, die den \"Virenschutzansatz\" quasi obsolete machen.<\/p>\n

<\/p>\n

\"\"Die Nachricht findet sich initial beim Google-Projekt Zero, wo Tavis Ormandy die Nacht den Artikel How to Compromise the Enterprise Endpoint<\/a> publiziert hat. Im Artikel beschreibt er fette Sicherheitsl\u00fccken, die in Symantecs Endpoint Protection (L\u00f6sung f\u00fcr Firmen) lauert. <\/p>\n

Problem: Die im Kernel des Betriebssystems mitlaufenden Unpacker <\/h3>\n

Um gepackte Archivdateien zu scannen, lassen die Antivirus-Hersteller einen Entpacker mit laufen. Dieser hat die Aufgabe, die gepackten Dateien zu extrahieren, so dass diese gescannt werden k\u00f6nnen.<\/p>\n

Dumm, wenn dieser Entpacker mit dem Virenscanner im Kernelmodus des Betriebssystems (Windows, Mac OS) mitl\u00e4uft. Jeder Fehler im Entpacker bedeutet, dass Malware mit Systemrechten unterwegs ist. <\/p>\n

Die L\u00f6sung w\u00e4re, entweder einen separaten Entpacker mit reduzierten Rechten zu implementieren, oder das Ganze in einer Sandbox ablaufen zu lassen und sicherzustellen, dass dort nichts ausbrechen kann.<\/p>\n

Problem: Stack Overflow im Kernel <\/h3>\n

Tavis Ormandy zeigt im betreffenden Beitrag<\/a>, dass ein Angriff auf die Entpack-Routine zu einem Stack Overflow f\u00fchren kann. Gelingt es, Code auszuf\u00fchren, l\u00e4uft dieser bei Symantec im Kernel-Modus mit allen erforderlichen Rechten, um sich im System einzunisten. <\/p>\n


(Quelle: Google Project Zero)<\/p>\n

In einem kleinen Beispiel ist es dem Project Zero gelungen, die Scan-Funktion im Netzwerk abzuschalten. Aber es sind weitere Szenarien denkbar \u2013 oder im Klartext: Die Symantec-AV-Produkte sind unwirksam. <\/p>\n

Zeugs seit 7 Jahren nicht aktualisiert<\/h3>\n

Geht man den Artikel von Tavis Ormandy durch, findet sich dort ein Satz, den man sich auf der Zunge zergehen lassen sollte:<\/p>\n

\n

Symantec dropped the ball here. A quick look at the decomposer library shipped by Symantec showed that they were using code derived from open source libraries like libmspack<\/a> and unrarsrc<\/a>, but hadn't updated them in at least 7 years.<\/p>\n<\/blockquote>\n

Die verwenden also Code aus Open Source-Bibliotheken, der seit seit 7 Jahren nicht mehr aktualisiert wurde. Sucht man im Web nach \"libmspack vulnerability\" st\u00f6\u00dft man auf Sicherheitsl\u00fccken aus 2015. Mehr muss man nicht sagen.<\/p>\n

Welche Versionen sind betroffen? Was sollte man tun?<\/h3>\n

Das Tragische: Die Sicherheitsl\u00fccken stecken auch in allen anderen Norton\/Symantec-Produkten und betreffen auch Privatanwender. Hier ein paar Produktnamen:<\/p>\n