Sicherheitsinfos: Lücken in FireEye-, Kaspersky- und Seagate-Produkten

Noch einige Sicherheitssplitter zum Mittwoch. Neben dem Update-Reigen von Microsoft sind Sicherheitslücken bei FireEye-Produkten sowie bei Kaspersky bekannt geworden. Und in Segates WLAN-Laufwerken gibt es auch eine Lücke, die per Firmware-Update geschlossen werden sollte.


Anzeige

Root-Lücken in FireEye Sicherheits-Applicances

Die Sicherheitsfirma FireEye vertreibt auch Sicherheits-Applicances. Nun ist eine Zero-Day-Sicherheitslücke bekannt geworden, die Root-Zugriffe auf betreffende Geräte ermöglicht. Momentan wird diese Lücke durch FireEye untersucht. Details finden sich hier bei heise.de. Die Lücke ist laut diesem heise.de-Artikel seit 18 Monaten ungepatcht. Die Zahl der Betroffenen unter den Blog-Lesern dürfte aber gering sein.

Sicherheitslücke in Kaspersky-Produkten

Es ist schon bald eine selbsterfüllende Prophezeiung. Im Artikel Windows 10: Welche Antivirus-Lösung soll ich einsetzen? hatte ich unter anderem in verlinkten Beiträgen darauf hingewiesen, dass Fremd-Sicherheitslösungen mitunter oft mehr Lücken aufreißen als sie vorgeben, zu schließen. Bei Facebook habe ich dann Kommentare der Art "kann man so sehen, muss man aber nicht … ich setze Kasperky ein" kassiert.

Nun ja, jetzt ist bekannt geworden, dass es eine Zero-Day-Sicherheitslücke in Kaspersky-Produkten gibt. Google Sicherheitsforscher Tavis Ormandy hat (nach Mängeln in den Antivirenprodukten von Eset und Sophos) nun auch Kaspersky in die Reihe der unverlässlichen Kandidaten eingereiht. Hier sein Tweet:

Auch nett: Tavis schreibt, dass es schwierig war, einen Sicherheitskontakt bei Kaspersky zu finden, dem er die Schwachstelle melden konnte. Details finden sich in diesem ZDNet-Artikel. Kaspersky wollte die Lücke laut einem weiteren Tweet vom 6.9.2015 binnen 24 Stunden schließen.

Sicherheitslücken in Seagate-Produkten

Heise hat es bereits vor ein paar Tagen in diesem Artikel thematisiert: In WLAN-Festplatten von Seagate klafft eine Sicherheitslücke, so dass Dritte Daten abgreifen können. Seagate stellt eine korrigierte Firmware 3.4.105 zum Download bereit. Bei betanews.com gibt es einen Artikel mit einiges Infos zu den Sicherheitslücken. Der Artikel von betanews.com adressiert die falschen Seagate-Produkte – hier ist der Original-Artikel von Tangible Security, der die nachfolgend genannten Produkte explizit aufführt (der Term NAS-Laufwerke war nicht korrekt und wurde geändert).

Update: Von Segate hat mich folgende Information erreicht, die ich hiermit weitergebe – der betreffende Verweis auf den betanews.com-Artikel ist gestrichen:

Wir haben heute morgen Ihren Blogbeitrag „Sicherheitsinfos: Lücken in FireEye, Kaspersky und Seagate NAS" gelesen (http://www.borncity.com/blog/2015/09/09/sicherheitsinfos-lcken-in-fireeye-und-kaspersky/). Dabei ist uns jedoch ein inhaltlicher Fehler aufgefallen. Die Sicherheitslücke betrifft nicht die Seagate NAS-Systeme, sondern die Firmware-Versionen 2.2.0.005 und 2.3.0.014 der WLAN-Festplatten LaCie Fuel, Seagate Wireless Mobile Storage und Seagate Wireless Plus Mobile Storage. Wir haben uns schon mit Betanews bezüglich dieser Fehlinformationen in Verbindung gesetzt.  Wir würden Sie daher auch gerne bitten, Ihren Text entsprechend anzupassen. Vielen Dank schon einmal im Voraus!

Die offizielle Stellungnahme von Seagate zur aktualisierten Firmware lautet:


Anzeige

„Seagate was made aware of vulnerabilities in its consumer based wireless hard drives. Seagate has patched the vulnerabilities and issued a firmware update that is available to customers on Seagate.com and through a link on the CERT notification. The firmware update addresses all security concerns with these vulnerabilities.

Affected users are encouraged to update the firmware as soon as possible. Customers may download the firmware from Seagate's website.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Sicherheitsinfos: Lücken in FireEye-, Kaspersky- und Seagate-Produkten

  1. Charles sagt:

    So viele AV Scanner weisen Lücken auf,mit einer Ausnahme :Hat schon mal irgeneiner eine Sicherheitslücke im Windows Defender gefunden??

  2. Tobi sagt:

    Natürlich nicht der wird ja regelmäßig von Microsoft gepachted ;-)

  3. Michael Uhlenbruck sagt:

    Beim Defender gibt es keine Sicherheitslücken, wenn er etwas nicht erkennt an Malware ist das ein Feature, Grins

  4. Segelboot sagt:

    Die Scanner von Drittanbietern werden wie normale Programme installiert. Die Dateien können wie die jedes Programms in %programfiles% von Admins und SYSTEM beschrieben werden. Die Dateien des Defenders im Ordner Windows Defender sind Eigentum von TrustedInstaller. Admins und SYSTEM können hier nur lesen. Der Selbstschutz ist also besser.

    Die Signaturen sind in %programdata%\Microsoft\Windows Defender\Definition Updates\Default abgelegt. Der ganze Zweig ab \Micrososoft\ kann nur von Admins und SYSTEM gelesen und beschrieben werden. Ich dachte erst das sei eine Lücke, weil die Signaturen ja von Admins gelöscht werden könnten. Also mal ein Script zusammengetackert, das man zB mit einem Binder an einen Virus kleben könnte. Aber ging nicht, weil Zugriff verweigert. Die schlauen Füchse haben doch tatsächlich die Signaturdateien SYSTEM gegeben, Admins können nur lesen aber nicht ausführen. Der Rest schaut in die Röhre. Dürfte bei Drittanbieterprogrammen ähnlich sein.

    Drittens sind die Defender-Prozesse MsMpEng.exe und NisSrv.exe Geschützte Prozesse der Signaturstufe 7 (PsProtectedSignerAntimalware-Light). Geschützte Prozesse wurden in Win8.1 eingeführt. Der Gag ist, das diese nur Code ausführen, der von MSFT mit einer speziellen Signatur signiert wurde. Nicht nur das ausführbare Image (die EXE/SYS/usw) muss dabei signiert sein, sondern jede dll oder andere Datei, welche Code enthält, die der Prozess zum Arbeiten braucht. Auf dieselbe Weise wurden auch csrss.exe, winlogon.exe, smss.exe, der kernel, services.exe … abgesichert. Diese Verwenden aus Sicherheitsgründen aber andere Signaturen (Signaturstufe 14, PsProtectedSignerWinTcb-Light), wobei der Kernel (Systemprozess) wiederum eine andere Signatur verwendet.

    Diese Prozesse sind praktisch unantastbar, man kann selbst als SYSTEM taskkill Befehle an MsMpEng.exe oder csrss.exe abschicken, und bekommt Zugriff verweigert. Grund ist, dass das System/Kernel bestimmte Befehle abfängt, mit denen man Geschützte Prozesse manipulieren könnte. Drittanbietertools können nur davon Träumen, Protected Processes zu sein.

    In Win10 hat der Defender neben ASLR & DEP auch Control Flow Guard (CFG) spendiert bekommen. Wenn ich mir den Selbstschutz von Drittanbieterprogrammen so ansehe, da mangelt es schon an ASLR. Es wäre an dieser Stelle müßig zu erwähnen, dass der Defender die unter Win8 eingeführte, verbesserte Variante HiASLR verwendet.

    Aus diesen Gründen halte ich den Defender für das schwerste Ziel eines AV-Exploits. Aber ich lasse mich gerne eines besseren belehren. MSE hat übrigens dieselben Probleme wie die Drittanbietertools. Deshalb lasse ich es mal außen vor.

    Gruß des Segelboots

Schreibe einen Kommentar zu Tobi Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.