Sicherheitslücke in AVAST-Antivirus: Stack Buffer Overflow

Der Virenscanner von AVAST enthielt eine Schwachstelle, über die Schadsoftware einen Stack Buffer Overflow per 'Magic Numbers' auslösen konnte. Diese Sicherheitslücke ist zwischenzeitlich per Update geschlossen.


Anzeige

Die Information findet sich im ladave.io-Blog in diesem Artikel. Der Blog-Beitrag zeigt, mit welchen Problemen Entwickler von Virenscannern zu kämpfen haben.

Das Magic Number-Problem

Bei der Analyse von Dateien durch einen Virenscanner ist es erforderlich, den genauen Dateityp zu ermitteln. Dazu scannt ein Modul die sogenannten 'Magic Numbers', eine Bytefolge, die den Dateityp festlegt. Eine PDF-Datei beginnt mit dem ASCII-String %PDF- und kann dadurch ggf. identifiziert werden.

Die AVAST-Scan-Engine versucht über das Modul algo nicht nur einen solchen Magic Number-String zu finden, sondern sucht nach weiteren Instanzen. Hintergrund ist wohl, dass man getarnte Schädlinge, dies ich in anderen Dateiformaten verbergen, aufspüren will (und z.B. in einem RAR-Archiv enthaltene weitere Dateien identifizieren muss).

Für jede gefundene Magic Number wird dann eine Datenstruktur erzeugt und auf dem Stack abgelegt. Nun ist der Autor des Blog-Beitrags auf die Idee gekommen, eine Datei mit einer Folge von diversen Magic Numbers zu erstellen und von AVAST scannen zu lassen. Er hat schlicht so etwas:

Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar! Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!%PDF-%PDF-%PDF-%PDF-%PDF-

in die Datei geschrieben, um einen Stack-Buffer-Überlauf zu provozieren. Und prompt bekam er diesen geliefert. Ab dieser Stelle wird es für Angreifer interessant. Gelingt es ihm, diesen Stack-Bereich zu überschreiben, erlangt er die Kontrolle über den Scanner. Die Sicherheitslücke ließe sich Remote, durch einen entsprechend präparierten E-Mail-Anhang triggern.

Gefunden wurde der Bug bereits am 23. September 2016 und an AVAST gemeldet. Der Bug wurde bestätigt und ein Update wurde von AVAST bereits am 29. September 2016 ausgerollt. Die aktuellen AVAST-Versionen sind also nicht mehr angreifbar. Der Fall zeigt aber erneut, dass der Teufel im Details sitzt. (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.