Open Source im professionellen Einsatz

Symantec Anti Virus Engine: Entfernter Angreifer erlangt Root-Rechte

Eine Schwachstelle in der Symantec Anti Virus Engine hat zur Folge, dass ein entfernter Angreifer Befehle auf dem System ausführen kann. Die Attacke ist über geschickt konstruierte Portable-Executable-Dateien möglich (PE), die unter Windows als Format für ausführbare Programme verwendet werden. Eine entsprechend konstruierte Datei löst in der Engine einen Heap Overflow aus, der es dem Angreifer dann ermöglicht Befehle mit Root-Rechten unter Linux, Unix und OS X auszuführen, womit er praktisch unbeschränkten Zugriff auf alle Teile des betroffenen Systems hat.

Zum erfolgreichen Durchführen der Attacke genügt es die Datei an das potenzielle Opfer zu schicken. Dabei ist es nicht notwendig, dass das Opfer diese Datei auch öffnet, da die Symantec-Filter alle I/O-Aufrufe abfangen. Die kritischen PE-Dateien haben einen abgeschnittenen Section-Data-Bereich, d.h. bei ihnen ist SizeOfRawData größer also SizeOfImage. Der fehlerhafte Programmcode sieht in etwa so aus:

char *buf = malloc(SizeOfImage);
memcpy(&buf[DataSection->VirtualAddress], DataSection->PointerToRawData, SectionSizeOnDisk);

Der Angreifer hat über die PE-Datei Kontrolle über die hier verwendeten Variablen und kann so leicht einen Heap Overflow auslösen. Da dies eine Sicherheitslücke in der Core-Engine ist, sind zahlreiche Symantec-Produkte betroffen:

  • Symantec Endpoint Antivirus
  • Norton Antivirus
  • Symantec Scan Engine
  • Symantec Email Security

Anfällig sind alle Engine Versionen 20151.1.0.32 a und älter. Securitytracker merkte noch an, dass der Hersteller hier nur von einer Denial-of-Service-Schwachstelle spricht. Allerdings demonstrierte der oben genannte Bericht, dass das Ausführen von Befehlen ebenfalls möglich ist.  

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.