Symantec/Norton: Massive Schwachstelle fördert Brute-Force-Attacke
Millionen betroffenen Kunden, riesige Sicherheitsmängel: Google-Sicherheitsforscher kritisieren die Securitysoftware von Symantec/Norton auf das Schärfste. Demnach haben die Entwickler einen schwerwiegenden Fehler begangen, als sie auf das Sandboxing verzichtet haben. Das Ergebnis ist ein möglicher Angriff von Außen ohne dass ein Anwender, der eine der betroffenen Software-Produkte von Symantec nutzt, selbst in irgendeiner Weise tätig werden muss.
Problematisch ist dabei, dass die Securitysoftware automatisiert zum Beispiel eingehenden Mails auf Schadsoftware scannt und sie so bereits aktiviert. Denn um eine üblicherweise komprimierte Schadsoftware im Emailanhang zu prüfen, entpackt Symantec den Schadcode. Darauf angepasste Malware kann dann einen Buffer Overflow herbeiführen und weiteren Code ausführen, bis hin zur kompletten Systemübernahme.
Brute-Force-Attacken
Im Normalfall sollte das in einem abgeschotteten System, also entweder in einer Sandbox oder in einer virtuellen Maschine, durchgeführt werden, erklärt
Tavis Ormandy, von Googles Project Zero in einem Blog Post. Symantec hat darauf aber in einigen Produkten verzichtet - ein grober Designfehler, der eine einzigartige Schwachstelle öffnet, die sich Schadcode-Entwickler zu nutzen machen. Dass diese Schwachstelle aktiv ausgenutzt wird, ist sich Ormandy sicher.
Da zudem die Standard-Einstellung der Sicherheitsprogramme betroffen ist, hätte die Lücke gar nicht schlimmer kommen können. Es besteht dabei die Möglichkeit des Zugriffs auf den Windows-Kernel mit der Verwendung der höchstmöglichen Rechte am PC, schreibt Ormandy. Automatische Updates von Seiten Symantecs sind in vielen Fällen ausgeschlossen, warnt Google weiter, daher müssen Kunden nun in vielen Fällen selbst handeln.
Laut Google betroffene Produkte:
Norton Antivirus (Mac, Windows)
Symantec Endpoint (Mac, Windows, Linux, UNIX)
Symantec Scan Engine (Alle Plattformen)
Symantec Cloud/NAS Protection Engine (Alle Plattformen)
Symantec Email Security (Alle Plattformen)
Symantec Protection for SharePoint/Exchange/Notes/etc (Alle Plattformen)
sowie weitere Symantec/Norton, Enterprise, SMB, Home und Antivirus Produkte
Symantec hat bereits auf die Warnung reagiert und in
einem Security-Advisory alle verfügbaren Sicherheitsaktualsierungen aufgelistet.
Quelle