Bugs in Encase: Mit dem Forensik-Tool die Polizei hacken

Strafverfolgungsbehörden weltweit nutzen die Forensiksoftware Encase. Doch einige Sicherheitslücken in der Software können zu einem Absturz der Software führen - oder sogar zur Codeausführung missbraucht werden.

Artikel von veröffentlicht am
Mit einem Bug in der Forensiksoftware die Polizei ärgern.
Mit einem Bug in der Forensiksoftware die Polizei ärgern. (Bild: Simon Yeo/CC-BY 2.0)

Eine von zahlreichen Polizeidienststellen, Unternehmen und Sicherheitsbehörden eingesetzte Forensiksoftware weist laut einer Analyse der Sicherheitsfirma SEC Consult aus Wien mehrere Schwachstellen auf, mit denen ein Crash des Programms oder sogar die Ausführung von Code provoziert werden können soll. Der Hersteller reagierte auf die Offenlegung der Sicherheitsforscher nur zögerlich - nicht das erste Mal.

Inhalt:
  1. Bugs in Encase: Mit dem Forensik-Tool die Polizei hacken
  2. Mit ReiserFS in den Heap-Speicher schreiben

Mit der Software Encase können Ermittlungsbehörden genaue forensische Analysen von Festplatten erstellen. Die gefundenen Fehler sind sowohl in der kostenfreien Version Encase 7 als auch in der kostenpflichtigen Pro-Version zu finden. Encase soll nicht nur bei der Analyse von Daten helfen, die Macher werben auch mit einer Entschlüsselungsfunktion für Lösungen wie Dell Data Protection und McAfee. Und mit Tableau Password Recovery soll es auch möglich sein, Passwörter von den Datenträgern auszulesen.

Die verschiedenen Sicherheitslücken gefunden hat der Sicherheitsforscher Wolfgang Ettlinger. Einerseits lässt sich die Software mit speziell präparierten Partitionen gezielt zum Absturz bringen, andererseits soll es nach Angaben des Security Reports sogar möglich sein, mit einer manipulierten Partition im Linux-Dateisystemformat ReiserFS einen Buffer Overflow zu nutzen, um vom Angreifer kontrollierten Code zur Ausführung zu bringen.

Programm kann gezielt zum Absturz gebracht werden

Mit der ersten gefundenen Sicherheitslücke kann das Forensikwerkzeug durch Nutzung bestimmter Parameter gezielt zum Absturz gebracht werden. Das ist mit Partitionen in verschiedenen Formaten möglich, etwa Ext3, Iso9660, ReiserFS und durch eine manipulierte Partitionstabelle (GPT). Die Partitionen sind nach Angaben von Johannes Greil, der bei SEC Consult die interne Recherche-Abteilung Vulnerability Lab leitet, komplett funktionsfähig. Kriminelle, die eine Analyse ihrer Daten durch das Tool verhindern wollen, könnten also eine entsprechende Partition auf ihrem Laptop einrichten oder USB-Sticks präparieren. Um die Daten auszuwerten, müsste dann eine andere Forensiksoftware eingesetzt werden.

Stellenmarkt
  1. Specialist (m/w/d) Performance Management Web Analytics
    Vodafone GmbH, Düsseldorf
  2. Systemadministrator*in (m/w/d)
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
Detailsuche

Der Fehler geht aber offenbar über einen reinen Crash der Applikation hinaus: Wird bei einer Ext-3-Partition der Wert für die Inode-Struktur des Dateisystems auf 0xFFFF gesetzt, kann Encase Forensic Imager über den eigentlich reservierten Speicherbereich (VirtualAlloc) hinaus schreiben. Möglicherweise ließe sich hieraus ein Exploit bauen, der die Ausführung von Code ermöglicht.

Auch bei CD- oder DVD-Images im ISO9660-Format können Dateinamen mit einer bestimmten Länge dazu führen, dass die Applikation abstürzt, aber noch Speicher über den eigentlich zugewiesenen Bereich ausliest.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Mit ReiserFS in den Heap-Speicher schreiben 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Cupra Urban Rebel
VW-Tochter kündigt Elektrorenner für 25.000 Euro an

Autobauer Cupra bringt mit dem Urban Rebel ein günstiges Elektroauto für all jene auf den Markt, denen der ID.Life von VW zu langweilig ist.

Cupra Urban Rebel: VW-Tochter kündigt Elektrorenner für 25.000 Euro an
Artikel
  1. Zuschauerzahlen: Netflix gaukelt Offenheit vor
    Zuschauerzahlen
    Netflix gaukelt Offenheit vor

    Netflix hat eine Liste mit den beliebtesten Filmen und Serien veröffentlicht - die Aussagekraft ist gleich null.
    Ein IMHO von Ingo Pakalski

  2. Vattenfall Eurofiber: Glasfaser in Fernwärmekanälen für das Land Berlin kommt
    Vattenfall Eurofiber
    Glasfaser in Fernwärmekanälen für das Land Berlin kommt

    Die Gigabit-Strategie der Stadt Berlin nimmt Gestalt an: Vattenfall Eurofiber setzt dafür auf eine ungewöhnliche Art, Glasfaser zu verlegen.

  3. Tesla Model Y im Test: Die furzende Familienkutsche
    Tesla Model Y im Test
    Die furzende Familienkutsche

    Teslas Model Y ist der Wunschtraum vieler Model-3-Besitzer. Reichweite und Raumangebot überzeugen im Test - doch der Autopilot ist nicht konkurrenzfähig.
    Ein Test von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Aktion: Win 10-Laptop oder PC kaufen, kostenloses Upgrade auf Win 11 erhalten • Bosch Professional & PC-Spiele von EA günstiger • Nur noch heute PS5-Gewinnspiel • Alternate (u. a. Asus TUF Gaming-Monitor 23,8" FHD 165Hz 179,90€) • 6 UHDs kaufen, nur 4 bezahlen [Werbung]
    •  /