E-Mail-Scanner patzen bei MIME-kodierten Anhängen
Hendrik Weimer hat einen Fehlerbericht veröffentlicht, in dem er eine Methode beschreibt, wie sich Schädlinge in Mailanhängen an Virenscannern vorbeischmuggeln lassen.
- Daniel Bachfeld
Hendrik Weimer hat einen Fehlerbericht veröffentlicht, in dem er eine Methode beschreibt, wie sich Schädlinge in Mailanhängen an Virenscannern vorbeischmuggeln lassen. Dazu kodiert er einen EICAR-Testvirus mittels Base64 und fügt Zeichen hinzu, die im Standardzeichenvorrat für MIME-Base64 nicht vorkommen, beispielsweise Whitespaces. Laut Standard sollten solche Zeichen von einem verarbeitenden Programm ignoriert werden – ein damit veränderter Virus sollte vom Scanner also trotzdem erkannt werden. Allerdings gelingt dies nach Weimers Angaben nicht jedem Scanner. Besonders vertrackt wird es, wenn die Datei noch in eine oder mehrere Multipart/Mixed-Inhalte eingebettet wird.
Der Emailcheck auf heise Security demonstriert das Problem. Anwender können damit testen, ob der eigene Scanner die präparierte Datei erkennt. Der Test erzeugt allerdings keine ineinander verschachtelten MIME-Anhänge. Laut Weimer steigen manche Scanner erst ab einer bestimmten Verschachtelungstiefe aus. Derartige Test-Mails lassen sich mit einem von ihm bereitgestellten Perl-Skript erstellen.
Weimer hat nur Scanner auf Mail-Gateways getestet: BitDefender Mail Protection for SMB 2.0, ClamAV 0.88.6, F-Prot Antivirus for Linux x86 Mail Servers 4.6.61 und Kaspersky Anti-Virus for Linux Mail Server 5.5.10 erkannten eine präparierte Eicar-Datei nicht. Dies sei laut Weimer auch deshalb bemerkenswert, weil derartige Verschleierungstaktiken bereits seit längerem bekannt seien. So zeigte beispielsweise Darren Bounds, wie man virulente Bilder über spezielles Encoding an einem Scanner vorbeschleust. Auch mit NUL-Zeichen lässt sich Sicherheits-Software austricksen.
Weniger Probleme mit präparierten Dateien hatte in Weimers Test avast! for Linux/Unix Servers 2.0.0. F-Secure Anti-Virus for Linux Gateways 4.65 erkannte zwar die Datei nicht, brach aber immerhin mit einem Fehler ab, die Mail könne nicht gescannt werden.
Siehe dazu auch:
- Bypassing Virus Scanners Using MIME Encoding Tricks, Fehlerbericht von Hendrik Weimer
- Demo im Emailcheck von heise Security
(dab)
