Angreifer könnten vollständige Kontrolle über Rechner übernehmen –Updates verfügbar
Eigentlich sollen Sicherheitslösungen vor dem Eindringen von Schadsoftware schützen. Doch um dies zu ermöglichen, benötigen solche Programme natürlich selbst einen recht umfassenden Zugriff auf das zu schützende System, was sie wiederum zu einem lukrativen Angriffspunkt für Angreifer macht. Um so wichtiger wäre es also gerade solche Anwendungen besonders sicher zu gestalten.
Leider patzen die Hersteller bei dieser Aufgabe gerne mal, in den letzten Monaten hat Tavis Ormandy von Googles Project Zero zahlreiche – zum Teil haarsträubende – Fehler in Antivirenprodukten diverser Hersteller aufgezeigt. Nun ist dabei Symantec an der Reihe.
Ausgehebelt
In einem Blogeintrag liefert Ormandy Details zu einer ganzen Reihe von kritischen Lücken in den Sicherheitsprodukten von Symantec.
Über einzelne davon lässt sich Schadcode von außen einschmuggeln und auf den betroffenen Systemen zur Ausführung bringen. Da die Symantec-Software zum Teil im Kernel Mode – also jenseits der gewohnten Nutzerbeschränkungen – läuft, lässt sich in weiterer Folge der jeweilige Rechner komplett übernehmen.
Da Symantec sämtliche von außen gelieferten Inhalte filtert, muss die Zielperson bei einem Angriff nicht einmal reingelegt werden, wie es bei Phishing-Attacken üblich ist. Es reicht einen manipulierten Link oder eine entsprechende Datei zu schicken, um einen erfolgreichen Exploit zu initiieren. Scharfe Kritik Ormandy lässt in seiner Analyse kaum ein gutes Haar an der Software des Sicherheitsdienstleisters. So bediene sich Symantec zum Entpacken einer modifzierten Version eines Open-Source-Programms. Dabei habe das Unternehmen aber seit sieben Jahren „vergessen“ diese zu aktualisieren, wodurch zahlreiche bekannte Lücken offenstehen. Auch stelle sich die Frage, warum ein Programm zum Entpacken überhaupt mit Kernel-Rechten laufen müsse.
Ganz generell empfiehlt der Sicherheitsforscher solche Aufgaben getrennt vom restlichen System in eine Sandbox zu packen, um den durch etwaige Lücken möglichen Schaden zu minimieren. Update Eine Liste der betroffenen Produkte liefert Symantec in einem eigenen Advisory. Sie umfasst praktisch alle Sicherheitsprodukte des Unternehmens, darunter auch einige, die unter der Marke Norton verkauft werden.
Der Softwarehersteller hat mittlerweile mit entsprechenden Updates reagiert, die die Nutzer so schnell wie möglich einspielen sollten, wie die Experten von CERT.at empfehlen. Einige Symantec-Produkte bietet zwar automatische Updates, hier sollten die User aber zumindest überprüfen, ob diese auf ihren Geräten bereits eingespielt wurden
Erstellt am: 29. Juni 2016