2196958

Kritische Lücke in Norton Antivirus

18.05.2016 | 09:00 Uhr |

In allen Sicherheitsprogrammen des Herstellers Symantec steckt eine Schwachstelle, über die eingeschleuster Code im Kernelmodus ausgeführt werden kann. Betroffen sind auch die Produkte der Marke Norton.

Tavis Ormandy hat wieder zugeschlagen. Der bei Google im Project Zero beschäftigte Sicherheitsforscher hat mehrere Sicherheitslücken in Symantec-Software entdeckt. Ormandy beschäftigt sich seit einigen Monaten mit Antivirusprodukten namhafter Hersteller und hat noch in fast jedem gravierende Schwachstellen entdeckt. Jetzt ist Symantec an der Reihe, dessen Norton-Produktreihe ebenso wie die Unternehmenslösungen (für alle Betriebssysteme) mehrere Lücken aufweisen, darunter eine recht kritische.

Wie Tavis Ormandy via Twitter verlautbart hat, steckt die gravierendste Schwachstelle (CVE-2016-2208) im Kern der Symantec Antivirus-Engine (AVE). Versucht ein Antivirusprodukt des Herstellers eine Datei zu entpacken, die mit einer älteren Version des EXE-Packers ASPack komprimiert wurde, kommt es zu einem Speicherüberlauf. Für einen Angriff ist keine aktive Mitwirkung des Benutzers nötig – der Besuch einer präparierten Website kann ebenso genügen wie das Eintreffen einer Mail mit einem präparierten Anhang. Sobald das Antivirusprogramm die Datei prüfen will, tritt der fatale Fehler auf.

Für Linux, Mac und andere Unix-basierte Systeme heißt das, eingeschleuster Code könnte mit Root-Rechten ausgeführt werden. Unter Windows sind die Folgen noch schwerwiegender. Da das Scan-Modul der Norton Antivirus-Software in den Windows-Kernel geladen wird, kann beliebiger Code auf Kernelebene ausgeführt werden (Ring 0). Das bedeutet, der Code darf wirklich alles auf dem Rechner, mehr noch als wenn er mit Systemrechten ausgeführt würde und weit mehr als mit Admin-Rechten. Ein offenkundiges Symptom eines erfolgreichen Angriffs wäre ein Komplettabsturz des Rechners, der zum berüchtigten BSOD (Blue Screen of Death) führt.

Ormandy hat diese und weitere Schwachstellen an Symantec gemeldet. Der Hersteller hat die Meldungen analysiert und die Lücken bestätigt. Zumindest die Kernel-Lücke CVE-2016-2208 sollte schon seit Montag geschlossen sein, da dies per LiveUpdate (Symantecs automatischem Aktualisierungsmechanismus) möglich ist. Symantec hat dazu am 16. Mai die Sicherheitsempfehlung SYM16-008 veröffentlicht. Die Behandlung der anderen Lücken bedarf hingegen einer formalen Produktaktualisierung – per LiveUpdate ist da wohl nichts zu machen. Wann und wie die übrigen Schwachstellen behoben werden, ist derzeit noch offen.

Tavis Ormandy hat in diesem Jahr bereits Schwachstellen in Software der Hersteller Comodo und Trend Micro entdeckt und publik gemacht.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2196958