Abo
  • Services:

Sandbox-Leak: Daten über die Antiviren-Cloud herausschmuggeln

Heutige Antivirenprogramme laden häufig verdächtige Dateien in Cloud-Systeme des jeweiligen Anbieters hoch. Das können Angreifer nutzen, um Daten aus Systemen ohne Netzwerkzugriff herauszuschmuggeln.

Artikel veröffentlicht am , Hanno Böck
Ob es so eine gute Idee ist, alle verdächtigen Dateien in die Cloud hochzuladen?
Ob es so eine gute Idee ist, alle verdächtigen Dateien in die Cloud hochzuladen? (Bild: Kaspersky / Screenshot)

Cloud-basierte Antivirenprogramme werden immer häufiger eingesetzt. Verdächtige Dateien werden dabei in ein System des Herstellers hochgeladen und dort im Detail analysiert. Zwei Sicherheitsforscher der Firma Safebreach konnten nun auf der Black Hat zeigen, dass die Dateien bei manchen Antivirenprogrammen in einer Sandbox mit Netzwerkzugriff ausgeführt werden. Das können auch Angreifer ausnutzen.

Stellenmarkt
  1. Computacenter AG & Co. oHG, Ratingen
  2. Energiedienst Holding AG, Rheinfelden

Das Szenario, von dem Safebreach hier ausgeht, ist folgendes: In Umgebungen mit hohen Sicherheitsanforderungen setzt man häufig auf Systeme, die überhaupt keinen Netzwerkzugriff haben. Im Extremfall nutzt man Airgapped-Systeme, die rein physikalisch nicht mit einem Netzwerk verbunden sind. Damit wird verhindert, dass irgendwelche Daten das System verlassen können, selbst wenn es mit Malware infiziert ist.

Nur die Antivirensoftware darf aufs Netz zugreifen

Doch in manchen Fällen sperrt man den Netzwerkzugriff nur für normale Nutzerapplikationen, erlaubt aber weiterhin den Netzwerkzugriff für bestimmte Anwendungen - beispielsweise ein System, auf dem man selektiv den Netzwerkzugriff für Systemupdates und für ein Antivirenprogramm zulässt.

In einem solchen Fall kann die Antivirensoftware als Vektor zur Exfiltration von Daten genutzt werden. Eine Malware, die lokal auf dem System läuft und bisher nicht erkannt wurde - die Erkennung von Antiviren-Programmen auszutricksen ist in aller Regel kein allzu großes Problem - erstellt dabei eine ausführbare Datei, die sich wie eine typische Malware verhält.

Die Antivirensoftware erkennt dies und lädt die Datei in die Antiviren-Cloud. Die erstellte ausführbare Datei enthält dabei geheime Daten des Systems. Sobald sie in der Sandbox des Antivirenherstellers ausgeführt wird, überträgt sie die Daten an den Server des Angreifers. Bemerkenswert daran ist, dass offenbar mehrere Antivirenhersteller den Applikationen in ihrer Test-Sandbox erlaubten, Netzwerkverbindungen aufzubauen.

Betroffen waren dabei Avira, ESET, Comodo und Kaspersky. Bei Eset gab es eine Besonderheit: Die Datei in der Sandbox konnte keine normalen HTTP-Verbindungen aufbauen. Die Daten konnten aber trotzdem exfiltriert werden, indem sie als DNS-Anfragen codiert wurden.

Avira, ESET und Comodo hatten das Problem nach kurzer Zeit behoben und erlauben nun keine Netzwerkzugriffe aus der Cloud-Sandbox mehr. Kaspersky hingegen wollte das Problem nicht beheben. Kunden, die sich vor einem entsprechenden Szenario schützen wollen, könnten die Cloud-Sandbox deaktivieren.

Lauern in der Cloud-Sandbox weitere Lücken?

Auch wenn das Angriffsszenario in diesem Fall eher ungewöhnlich ist und vermutlich nicht allzu viele Systeme betrifft, wirft der Angriff auch weitere Fragen auf. Denn faktisch ermöglicht das testweise Ausführen von verdächtigen ausführbaren Dateien einem Angreifer, Code auf den Servern der Antivirenhersteller auszuführen. Daraus könnten sich weitere Sicherheitslücken ergeben, wenn ein Angreifer dies ausnutzt, um direkt die Server der Antiviren-Firmen anzugreifen.

Durch korrekt eingesetztes Sandboxing oder mittels Virtualisierung könnte man solche Angriffe sicher verhindern. Aber da Antivirenfirmen nicht gerade dafür bekannt sind, besonders sichere Software zu schreiben, erscheint es durchaus denkbar, dass hier weitere Sicherheitsprobleme lauern.



Anzeige
Spiele-Angebote
  1. 33,99€
  2. 14,02€
  3. 12,99€
  4. 45,99€ (Release 12.10.)

Stefann 05. Aug 2017

Der Virenscanner ist eine ganz wichtige Sache und ich persönlich würde es nicht...

Cystasy 31. Jul 2017

Ist doch ganz einfach.. Welche Daten? -> Alle die von der Malware auf deinem Computer...


Folgen Sie uns
       


Asus Zenbook 13 (UX333FN) ausprobiert (Ifa 2018)

Das Asus Zenbook 13 (UX333FN) ist ein sehr kompaktes Ultrabook mit Geforce-Grafik und ein paar cleveren Ideen.

Asus Zenbook 13 (UX333FN) ausprobiert (Ifa 2018) Video aufrufen
Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden

Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Segelflug: Die Höhenflieger
    Segelflug
    Die Höhenflieger

    In einem Experimental-Segelflugzeug von Airbus wollen Flugenthusiasten auf gigantischen Luftwirbeln am Rande der Antarktis fast 30 Kilometer hoch aufsteigen - ganz ohne Motor. An Bord sind Messinstrumente, die neue und unverfälschte Daten für die Klimaforschung liefern.
    Ein Bericht von Daniel Hautmann

    1. Luftfahrt Nasa testet leise Überschallflüge
    2. Low-Boom Flight Demonstrator Lockheed baut leises Überschallflugzeug
    3. Elektroflieger Norwegen will elektrisch fliegen

      •  /