Kritische Lücken in fast allen Antiviren-Produkten von Symantec und Norton

Ein Sicherheitsforscher warnt vor extrem gefährlichen Sicherheitslücken in Symantec Endpoint Protection, Norton 360 & Co. Wer derartige Produkte einsetzt, sollte umgehend reagieren.

In Pocket speichern vorlesen Druckansicht 73 Kommentare lesen
Kritische Lücken in fast allen Antiviren-Produkte von Symantec und Norton

(Bild: Screenshot)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Der Security-Experte Tavis Ormandy von Googles Project Zero ist auf sieben kritische Sicherheitslücken in nahezu allen Antiviren-Produkten von Symantec und Norton gestoßen. Neben den Windows-Versionen sind auch die für Linux, OS X und UNIX betroffen. Über die Lücken können Angreifer ohne viel Aufwand Schadcode auf Computer schieben und ganze Netzwerke kompromittieren.

Die Schwachstellen klaffen bereits in den Standard-Konfigurationen, sodass jeder der ein entsprechendes Antiviren-Produkt installiert hat, bedroht ist. Der Grund für die Anfälligkeiten ist, dass Symantec verwundbare Open-Source-Software in seiner Decomposer-Bibliothek einsetzt, die seit sieben Jahren nicht aktualisiert wurde, erläutert Ormandy.

Das prekäre dabei ist: Einige der Antiviren-Produkte lassen sich Ormandy zufolge nicht automatisch aktualisieren. Symantec hat bereits eine Sicherheits-Warnung veröffentlicht und zeigt in einer Liste auf, welche AV-Produkte sich automatisch aktualisieren oder ob ein manuell zu installierender Hotfix bereitsteht.

Ormandy warnt, dass die Anwendungen mit den höchstmöglichen Rechten laufen. WIndows führt den verwundbaren Code sogar im Kernel aus. Angreifer können so aus der Ferne Speicherfehler im Kernel provozieren. Auf UNIX-Systemen kann man immer noch Root-Rechte erlangen. Doch es kommt noch schlimmer: Eine Infektion soll von Computer zu Computer springen können und so über das Netzwerk oder sogar das Internet immer mehr Maschinen in Mitleidenschaft ziehen.

Ormandys Proof of Concept funktioniert: Nachdem wir die Test-Datei auf unser Test-System kopierten, begrüßte uns der Blue Screen of Death.

(Bild: Screenshot)

Angreifer sollen die Lücken Ormandy zufolge ausnutzen können, ohne dass ein Opfer etwas machen muss. In der Regel beginnt ein Angriff mit dem Aufrufen einer präparierten Webseite oder dem Öffnen eines Datei-Anhangs mit Schad-Code. Aufgrund der zentralen Position der AV-Software reicht in diesem Fall jedoch schon der Empfang einer E-Mail mit Schadcode im Datei-Anhang aus, um einen Angriff einzuleiten.

Die Wurzel des Übels findet sich in der Engine der Antiviren-Produkte, die die Kompression von Malware-Entwicklern umkehrt, mit dem Angreifer ihren Schadcode verschleiern. Über diese Methode will ein Viren-Scanner schon im Vorfeld beurteilen, ob Gefahr von einer Datei ausgeht.

Konkret betrifft das Problem unter anderem die Auspack-Routine ASPack. Ormandy empfiehlt dem AV-Hersteller, die Unpacker in einer isolierten Sandbox laufen zu lassen. In ihren Tests haben die Sicherheitsforscher die Unpacker mit Datenpaketen von inkonsistenter Größe bombardiert und so einen Speicherfehler provoziert.

Heise Security konnte das mit der von Ormandy bereitgestellten Test-Datei unter Windows 10 mit einem frisch installierten Norton Security Premium nachvollziehen.

Tavis Ormandy ist einer der Star-Hacker von Googles Project Zero. Er hat es vor allem auf Anbieter von Antiviren-Anwendungen abgesehen und das mit beträchtlichem Erfolg. Allein in diesem Jahr hat er unter anderem bereits eine kritische Lücke in Produkten von Symantec und Norton aufgedeckt und eine Hintertür in Trend-Micro-Produkten gefunden.

[UPDATE, 29.06.2016 14:50 Uhr]

Symantecs Liste der betroffenen AV-Produkte besser beschrieben.

[UPDATE, 04.07.2016 14:45]

Informationen zu den Schwachstellen ergänzt. Ormandy hat sieben Schwachstellen in den zum Einsatz kommenden Entpack-Routinen wie zum Beispiel CAB, RAR und ZIP entdeckt. Die Lücke in ASPack hat Symantec bereits im Mai geschlossen. (des)