Antiviren-Gateways erkennen infizierte Bilder nicht

Die Antiviren-Gateways einiger Hersteller erkennen nicht in allen Fällen Bilder, die Schadcode enthalten. Nach Angaben von Darren Bounds vom Sicherheitsdienstleister Intrusec können Angreifer etwa infizierte JPEG-Bilder durch eine besondere Codierung an den Sicherheitschecks der Gateways durchschmuggeln. So lassen sich Base64-codierte Bilder gemäß RFC 2397 in eine URL innerhalb eines HTML-Dokuments einbauen. Die Gateways sind nicht in der Lage, darin eingebetteten Schadcode zu erkennen und lassen die Bilder passieren.

Firefox, Safari, Mozilla und Opera unterstützen RFC 2397 und zeigen die Bilder auf dem System des Anwenders an. In der Folge wird das System infiziert. Immerhin bleiben diesmal Anwender des Internet Explorer verschont, da dieser die Technik nicht unterstützt und die Bilder nicht decodieren kann.

Bounds hat Tests an verschiedenen Produkten mit den bekannten Exploits durchgeführt. Laut der Sicherheitsdatenbank Secunia ließen folgende Produkte präparierte Bilder durch: TrendMicro InterScan WebProtect 3.1 Build 1027, TrendMicro InterScan Messaging Security Suite 5.5 Build 114, Check Point Firewall-1 NG R55 HFA08 mit SmartDefense 541041226, McAfee Webshield 3000 4.3.20, Proventia Network Sensor mit ISS SiteProtector 2.0.4.561, IronPort mit Sophos AV-Engine 3.88 IDE Serial sowie TippingPoint UnityOne mit Digital Vacine 2.0.0.2070. Sehr wahrscheinlich sind andere Versionen sowie die Produkte anderer Hersteller ebenfalls betroffen. Patches für die Gateways gibt es derzeit nicht. Anwender sollten daher alle verfügbaren Patches auf ihrem System installieren, um sich vor infizierten Bildern zu schützen. Nicht nur Windows-Systeme sind davon bedroht, auch unter Linux können etwa manipulierte TIFF- und BMP-Bilder Schaden anrichten.

Siehe dazu auch: (dab)

• Multi-vendor AV gateway image inspection bypass vulnerability von Darren Bounds