Symantec: Fette Sicherheitslücke in Virenscannern

Neue Hiobsbotschaft für Symantec-Kunden, die auf Norton Antivirus- und Security-Suite-Lösungen setzen. Tavis Ormandy hat mal wieder fette Sicherheitslücken in deren Produkten aufgedeckt, die den "Virenschutzansatz" quasi obsolete machen.


Anzeige

Die Nachricht findet sich initial beim Google-Projekt Zero, wo Tavis Ormandy die Nacht den Artikel How to Compromise the Enterprise Endpoint publiziert hat. Im Artikel beschreibt er fette Sicherheitslücken, die in Symantecs Endpoint Protection (Lösung für Firmen) lauert.

Problem: Die im Kernel des Betriebssystems mitlaufenden Unpacker

Um gepackte Archivdateien zu scannen, lassen die Antivirus-Hersteller einen Entpacker mit laufen. Dieser hat die Aufgabe, die gepackten Dateien zu extrahieren, so dass diese gescannt werden können.

Dumm, wenn dieser Entpacker mit dem Virenscanner im Kernelmodus des Betriebssystems (Windows, Mac OS) mitläuft. Jeder Fehler im Entpacker bedeutet, dass Malware mit Systemrechten unterwegs ist.

Die Lösung wäre, entweder einen separaten Entpacker mit reduzierten Rechten zu implementieren, oder das Ganze in einer Sandbox ablaufen zu lassen und sicherzustellen, dass dort nichts ausbrechen kann.

Problem: Stack Overflow im Kernel

Tavis Ormandy zeigt im betreffenden Beitrag, dass ein Angriff auf die Entpack-Routine zu einem Stack Overflow führen kann. Gelingt es, Code auszuführen, läuft dieser bei Symantec im Kernel-Modus mit allen erforderlichen Rechten, um sich im System einzunisten.


(Quelle: Google Project Zero)

In einem kleinen Beispiel ist es dem Project Zero gelungen, die Scan-Funktion im Netzwerk abzuschalten. Aber es sind weitere Szenarien denkbar – oder im Klartext: Die Symantec-AV-Produkte sind unwirksam.

Zeugs seit 7 Jahren nicht aktualisiert

Geht man den Artikel von Tavis Ormandy durch, findet sich dort ein Satz, den man sich auf der Zunge zergehen lassen sollte:


Anzeige

Symantec dropped the ball here. A quick look at the decomposer library shipped by Symantec showed that they were using code derived from open source libraries like libmspack and unrarsrc, but hadn't updated them in at least 7 years.

Die verwenden also Code aus Open Source-Bibliotheken, der seit seit 7 Jahren nicht mehr aktualisiert wurde. Sucht man im Web nach "libmspack vulnerability" stößt man auf Sicherheitslücken aus 2015. Mehr muss man nicht sagen.

Welche Versionen sind betroffen? Was sollte man tun?

Das Tragische: Die Sicherheitslücken stecken auch in allen anderen Norton/Symantec-Produkten und betreffen auch Privatanwender. Hier ein paar Produktnamen:

  • Norton Security, Norton 360 und weitere Norton-Produkte(alle Plattformen)

  • Symantec Endpoint Protection (all Versionen, alle Plattformen)

  • Symantec Email Security (alle Plattformen)

  • Symantec Protection Engine (alle Plattformen)

  • Symantec Protection for SharePoint Servers

Die Liste lässt sich eigentlich um alle Symantec Sicherheitsprodukte erweitern. Symantec hat in diesem Security Advisory auf das Problem hingewiesen und bietet Hotfixes bzw. Updates an. Zudem sollten die Auto-Update die Produkte aktualisieren.

In diesem Ars-Technica-Artikel sowie im Web gibt es den Hinweis, das Produkt zu aktualisieren, um das Sicherheitsloch zu schließen. Ich halte es eher mit der Empfehlung hier: Die Reaktion des Kunden sollte in der kompletten Deinstallation des Pakets liegen.

Ähnliche Artikel:
Cyber-Bullet: Virenscanner als Malware-Schleuder …

Comodo: Sicherheitsdesaster beim Chromodo-Browser
SSL-GAU zwingt Browser-Hersteller zu Updates (heise.de)
Comodo Antivirus killt Chrome 45-Browser per Code-Injection
Neues SSL-Problem: Comodo liefert ‚Adware' Privdog aus
Windows 10: Welche Antivirus-Lösung soll ich einsetzen?
Microsoft Security Essentials schlägt im Praxistest AV-Hersteller
Windows 8-Sicherheitslücke durch Virenscanner?
Achtung Treffer: Deine Antivirus-Software als Sicherheitslücke?
Murmeltiertag: Sicherheitslücke in Lenovo Solution Center


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.