Kompression: Antiviren-Programme stolpern über ZIP-Bombe

Eine besondere ZIP-Datei kann bei vielen Antiviren-Programmen zu extrem hoher CPU-Last führen und sie praktisch außer Gefecht setzen. Mit Tricks gelang es einem Sicherheitsforscher, extrem hohe Datenkompressionsraten zu erreichen.

Artikel veröffentlicht am ,
Antiviren-Programme haben oft den Ruf, Schlangenöl zu sein. Zu Recht?
Antiviren-Programme haben oft den Ruf, Schlangenöl zu sein. Zu Recht? (Bild: Jeremy Weate, Wikimedia Commons/CC-BY 2.0)

Eine neuartige Form von ZIP-Bomben kann diverse Antiviren-Programme außer Gefecht setzen. Die Reaktionen der Hersteller sind dabei teilweise sehr unprofessionell. Einige verhindern das Scannen der bereitgestellten Beispieldatei, aber lassen sich bereits durch leichte Variationen austricksen. Zudem verrieten mehrere Hersteller über HTTP-Referrer ihre internen Bugtracker.

Inhalt:
  1. Kompression: Antiviren-Programme stolpern über ZIP-Bombe
  2. Antiviren-Programme erkennen Beispieldatei, aber keine Varianten davon

Der Hintergrund: Vor etwa einem Monat hatte der Softwareentwickler David Fifield eine Methode vorgestellt, mit der man extrem hohe Kompressionsraten in ZIP-Dateien erreichen kann. Der Trick dabei: Dieselben Datensegmente werden aus mehreren Dateien referenziert. Damit gelang es Fifield beispielsweise, eine 10-Megabyte-Datei zu erstellen, die entpackt 281 Terabyte an Daten enthielt. Diese Methoden hat Fifield auf der Konferenz USENIX Woot präsentiert.

ZIP-Bombe führt bei zahlreichen Antivirenprogrammen zu Überlastung

Solche ZIP-Bomben oder Kompressionsbomben können Software, die gepackte Dateien automatisch entpackt, außer Gefecht setzen, etwa weil es extrem lange dauert, die Daten zu extrahieren, oder weil der Speicher vollläuft.

Auf der Plattform Virustotal kann man Dateien hochladen, die dann mit vielen verschiedenen Antiviren-Programmen gescannt werden. Kurz nach Veröffentlichung der neuen ZIP-Bombe führte ein Scan der Datei bei 15 der getesteten Virenscanner zu einem Time-out, darunter Mcafee, Sophos und F-Secure.

HTTP-Referrer verraten interne Bugreports

Stellenmarkt
  1. Pricing Specialist (m/w/d)
    Habasit GmbH, Raum Eppertshausen
  2. Wissenschaftliche Mitarbeiterin (m/w/d) an der Fakultät für Informatik
    Universität der Bundeswehr München, Neubiberg (Home-Office möglich)
Detailsuche

David Fifield, der Entwickler der ZIP-Bombe, stellte zudem fest, dass zahlreiche Hersteller von Sicherheitstools in ihren internen Bugtrackern offenbar Problemberichte erstellt hatten. Diese verrieten sich dadurch, dass aus den Bugreports heraus Fifields Webseite verlinkt wurde und diese dort dank ihrer HTTP-Referrer in den Logdateien landeten. Unter den Referrern befinden sich interne Bugreports von bekannten Herstellern von Sicherheitsprodukten, darunter Avira, Eset, Fortinet, Mcafee, Palo Alto Networks und Trend Micro. Auch ein interner Bugtracker der EU-Kommission wird dort aufgelistet.

Das Verschicken von HTTP-Referrern kann man durch den HTTP-Header Referrer-Policy verhindern. Insbesondere für interne Zwecke gedachte Bugtracker sollten auf jeden Fall diesen Header entweder auf den Wert "no-referrer" (überhaupt keine Referrer senden) oder "same-origin" (Referrer nur bei internen Links) setzen.

Einige Antivirenprogramme versuchen inzwischen vor solchen ZIP-Bomben zu warnen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Antiviren-Programme erkennen Beispieldatei, aber keine Varianten davon 
  1. 1
  2. 2
  3.  


heikom36 08. Aug 2019

Wenn man nicht über den Titel hinaus kommt, mag man das vielleicht annehmen. Die Technik...

heikom36 08. Aug 2019

Les mal den Artikel - gerade die tollen kostenpflichtigen erkennen es nicht. Und der...

heikom36 08. Aug 2019

Sollte man so eine Software überhaupt als Admin laufen lassen? ;-)

heikom36 08. Aug 2019

Wenn man es genau nimmt: Sicherer als die EC Karte, die sicherheitstechnisch seit...



Aktuell auf der Startseite von Golem.de
Microsoft
Exchange Server von gut versteckter Hintertür betroffen

Sicherheitsforscher haben eine Backdoor gefunden, die zuvor gehackte Exchange-Server seit 15 Monaten zugänglich hält.

Microsoft: Exchange Server von gut versteckter Hintertür betroffen
Artikel
  1. Ayn Loki Zero: Dieses PC-Handheld kostet nur 200 US-Dollar
    Ayn Loki Zero
    Dieses PC-Handheld kostet nur 200 US-Dollar

    Es ist das bisher günstigste Modell in einer Reihe von vielen: Der Loki Zero mit 6-Zoll-Display nutzt einen Athlon-Prozessor mit Vega-Grafik.

  2. US-Streaming: Immer mehr Netflix-Abonnenten kündigen nach einem Monat
    US-Streaming
    Immer mehr Netflix-Abonnenten kündigen nach einem Monat

    Netflix hat zunehmend Probleme, neue Abonnenten zu halten. Der Anteil an Neukunden, die nach einem Monat wieder kündigen, steigt.

  3. Ducati V21L: Ducatis elektrische Rennmaschine schafft 275 km/h
    Ducati V21L
    Ducatis elektrische Rennmaschine schafft 275 km/h

    Ducati testet seit einem halben Jahr ein Elektromotorrad für den Rennsport. Der italienische Hersteller nennt Details zu Leistung und Einsatz.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gigabyte RX 6800 679€ • Samsung SSD 2TB (PS5-komp.) 249,90€ • MindStar (Zotac RTX 3090 1.399€) • Top-Spiele-PC mit AMD Ryzen 7 RTX 3070 Ti 32GB 1.700€ • Nanoleaf günstiger • Alternate (TeamGroup DDR4-3600 16GB 49,99€) Switch OLED günstig wie nie: 333€ [Werbung]
    •  /