Kompressionsbomben gefährden Antivirenscanner [Update]
Einige Antivirenscanner sind anfällig für Denial-of-Service-Attacken durch so genannte bzip2-Kompressionsbomben.
Einer Untersuchung des Sicherheitsdienstleisters AERAsec zufolge sind einige Antivirenscanner anfällig für Denial-of-Service-Attacken durch so genannte bzip2-Kompressionsbomben. Kompressionsbomben entstehen beim Packen sehr großer Dateien, die beispielsweise nur aus Nullen bestehen -- 2 GByte Nullen lassen sich hervorragend komprimieren. Der resultierenden, verhältnismäßig kleinen Datei sieht man ihre wahre Größe auf den ersten Blick nicht an. Erst beim Auspacken füllt sie die Festplatte des Rechners. Die Zeit zum Schreiben von 2 GByte Daten ist ebenfalls nicht unerheblich.
Damit ein Virenscanner in eine gepackte Datei hineinschauen kann, muss er den Inhalt temporär entpacken. Da Kompressionsbomben seit langem bekannt sind, lassen sich die meisten Virenscanner nicht mehr austricksen. Vor dem Auspacken fragen sie in ZIP-Dateien enthaltene Informationen ab, wie groß die Datei ursprünglich war. Überschreitet diese ein Limit, kommt die Datei in Quarantäne. In bzip2-gepackte Dateien sind keine Informationen über die wahre Größe enthalten, sodass der Scanner einfach auspacken muss. Einige Produkte überprüfen aber nicht, ob dabei ein gewisse Größe überschritten wird und entpacken munter drauf los -- entweder, bis die Datei vollständig dekomprimiert oder bis die Festplatte voll ist. Für Kaspersky Anti-Virus für Linux 5.0.1.0, Trend Micro InterScan VirusWall 3.8 Build 1130 und McAfee Virus Scan für Linux 4.16.0 wurde das Problem bestätigt, die Produkte anderer Hersteller können ebenfalls betroffen sein. Die Virenscanner verbrauchen erhebliche Ressourcen, um solchen Dateien zu scannen. Wird der Scanner beispielsweise zum Prüfen von Mails eingesetzt, kann der E-Mail-Verkehr dann schnell ins Stocken geraten.
Eine Lösung für das Problem gibt es derzeit nicht. Als Workaround sollten Administratoren bzip2-Dateien blockieren.
[Update]
Dr. Peter Bieringer, Autor der Untersuchung von AERAsec, weist darauf hin, dass es möglich ist, die Headerinformationen in ZIP-Dateien nachträglich zu fälschen. Dazu reicht ein normaler HEX-Editor aus. Prüft ein Scanner nur die Header und nicht zusätzlich die aktuelle Größe, ist er dmit ebenfalls für ZIP-Bomben anfällig.
Siehe dazu auch: (dab)
- Untersuchung von AERAsec
