Von wegen Schutz: NOD32 erlaubt das Kapern von Rechnern
Statt die Nutzer zu schĂĽtzen erlaubte NOD32 von Eset es Angreifern, die Rechner der Opfer komplett zu ĂĽbernehmen. Das Update, welches die LĂĽcke schlieĂźt, sollte schleunigst eingespielt werden.
- Fabian A. Scherschel
Der Virenscanner NOD32 von Eset konnte von Angreifern missbraucht werden, Schadcode mit Systemrechten auszuführen. Die Sicherheitslücke wurde nun von Googles Project Zero bekanntgegeben, nachdem Eset sie bereits geschlossen hatte. Betroffen sind Versionen von NOD32 auf Windows, OS X und Linux, da die fehlerhafte Sandbox auf allen Betriebssystemen ähnlich funktioniert.
Sandbox als HintertĂĽr
Der Fehler steckt in der Sandbox, mit der NOD32 ausführbare Archive prüft. Diese werden erst einmal in einer kontrollierten Umgebung ausgeführt, um zu gucken ob der entpackte Code an Hand von Signaturen als bösartig identifiziert werden kann. Leider hat diese Funktion von NOD32 allerdings eklatante Mängel, so dass der Angreifer den Prozess kapern kann und dann Systemrechte erhält. Wenn der Hintegrund-Scan aktiviert ist, muss ein Angreifer ein entsprechendes Archiv nur auf die Platte geschrieben bekommen, da in diesem Fall die verwundbare Sandbox direkt greift.
Wie Sicherheitsforscher Tavis Ormandy von Project Zero schreibt, ist der Angriff relativ trivial. Es gebe viele Möglichkeiten, Opfern von außen ein entsprechend präpariertes Archiv unterzuschieben. Da keine Benutzer-Interaktion für den Angriff erforderlich ist, sei die Schwachstelle ein perfektes Szenario für einen Wurm, der sich etwa per Chats automatisch verbreitet. Ormandy hat mit seinem Bericht ebenfalls Exploit-Code veröffentlicht.
Jetzt updaten!
Ein Abschalten des Hintergrund-Scans schränkt die Gefährlichkeit des Angriffs zwar ein, da der Benutzer die selbstentpackenden Archive dann manuell ausführen muss, allerdings warnt NOD32 sehr eindringlich und sehr oft davor, diese Funktion abzuschalten. Betroffen sind folgende Produkte:
- ESET NOD32 Antivirus fĂĽr Windows
- ESET Smart Security fĂĽr Windows
- ESET Endpoint Security fĂĽr Windows und OSÂ X
- ESET Cyber Security Pro fĂĽr OSÂ X
- ESET NOD32 fĂĽr Linux
- ESET NOD32 Business Edition
Nutzer dieser Programme sollten sicherstellen, dass die Scanner mit allen verfĂĽgbaren Updates versorgt sind. Update 11824 von Eset schlieĂźt die LĂĽcke. (fab)