Abo
  • Services:
Anzeige
Ob es so eine gute Idee ist, alle verdächtigen Dateien in die Cloud hochzuladen?
Ob es so eine gute Idee ist, alle verdächtigen Dateien in die Cloud hochzuladen? (Bild: Kaspersky / Screenshot)

Sandbox-Leak: Daten über die Antiviren-Cloud herausschmuggeln

Ob es so eine gute Idee ist, alle verdächtigen Dateien in die Cloud hochzuladen?
Ob es so eine gute Idee ist, alle verdächtigen Dateien in die Cloud hochzuladen? (Bild: Kaspersky / Screenshot)

Heutige Antivirenprogramme laden häufig verdächtige Dateien in Cloud-Systeme des jeweiligen Anbieters hoch. Das können Angreifer nutzen, um Daten aus Systemen ohne Netzwerkzugriff herauszuschmuggeln.

Cloud-basierte Antivirenprogramme werden immer häufiger eingesetzt. Verdächtige Dateien werden dabei in ein System des Herstellers hochgeladen und dort im Detail analysiert. Zwei Sicherheitsforscher der Firma Safebreach konnten nun auf der Black Hat zeigen, dass die Dateien bei manchen Antivirenprogrammen in einer Sandbox mit Netzwerkzugriff ausgeführt werden. Das können auch Angreifer ausnutzen.

Anzeige

Das Szenario, von dem Safebreach hier ausgeht, ist folgendes: In Umgebungen mit hohen Sicherheitsanforderungen setzt man häufig auf Systeme, die überhaupt keinen Netzwerkzugriff haben. Im Extremfall nutzt man Airgapped-Systeme, die rein physikalisch nicht mit einem Netzwerk verbunden sind. Damit wird verhindert, dass irgendwelche Daten das System verlassen können, selbst wenn es mit Malware infiziert ist.

Nur die Antivirensoftware darf aufs Netz zugreifen

Doch in manchen Fällen sperrt man den Netzwerkzugriff nur für normale Nutzerapplikationen, erlaubt aber weiterhin den Netzwerkzugriff für bestimmte Anwendungen - beispielsweise ein System, auf dem man selektiv den Netzwerkzugriff für Systemupdates und für ein Antivirenprogramm zulässt.

In einem solchen Fall kann die Antivirensoftware als Vektor zur Exfiltration von Daten genutzt werden. Eine Malware, die lokal auf dem System läuft und bisher nicht erkannt wurde - die Erkennung von Antiviren-Programmen auszutricksen ist in aller Regel kein allzu großes Problem - erstellt dabei eine ausführbare Datei, die sich wie eine typische Malware verhält.

Die Antivirensoftware erkennt dies und lädt die Datei in die Antiviren-Cloud. Die erstellte ausführbare Datei enthält dabei geheime Daten des Systems. Sobald sie in der Sandbox des Antivirenherstellers ausgeführt wird, überträgt sie die Daten an den Server des Angreifers. Bemerkenswert daran ist, dass offenbar mehrere Antivirenhersteller den Applikationen in ihrer Test-Sandbox erlaubten, Netzwerkverbindungen aufzubauen.

Betroffen waren dabei Avira, ESET, Comodo und Kaspersky. Bei Eset gab es eine Besonderheit: Die Datei in der Sandbox konnte keine normalen HTTP-Verbindungen aufbauen. Die Daten konnten aber trotzdem exfiltriert werden, indem sie als DNS-Anfragen codiert wurden.

Avira, ESET und Comodo hatten das Problem nach kurzer Zeit behoben und erlauben nun keine Netzwerkzugriffe aus der Cloud-Sandbox mehr. Kaspersky hingegen wollte das Problem nicht beheben. Kunden, die sich vor einem entsprechenden Szenario schützen wollen, könnten die Cloud-Sandbox deaktivieren.

Lauern in der Cloud-Sandbox weitere Lücken?

Auch wenn das Angriffsszenario in diesem Fall eher ungewöhnlich ist und vermutlich nicht allzu viele Systeme betrifft, wirft der Angriff auch weitere Fragen auf. Denn faktisch ermöglicht das testweise Ausführen von verdächtigen ausführbaren Dateien einem Angreifer, Code auf den Servern der Antivirenhersteller auszuführen. Daraus könnten sich weitere Sicherheitslücken ergeben, wenn ein Angreifer dies ausnutzt, um direkt die Server der Antiviren-Firmen anzugreifen.

Durch korrekt eingesetztes Sandboxing oder mittels Virtualisierung könnte man solche Angriffe sicher verhindern. Aber da Antivirenfirmen nicht gerade dafür bekannt sind, besonders sichere Software zu schreiben, erscheint es durchaus denkbar, dass hier weitere Sicherheitsprobleme lauern.


eye home zur Startseite
Stefann 05. Aug 2017

Der Virenscanner ist eine ganz wichtige Sache und ich persönlich würde es nicht...

Cystasy 31. Jul 2017

Ist doch ganz einfach.. Welche Daten? -> Alle die von der Malware auf deinem Computer...



Anzeige

Stellenmarkt
  1. Computacenter AG & Co. oHG, Frankfurt
  2. flexis AG, Stuttgart
  3. OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg
  4. EXPERT-TÜNKERS GmbH, Lorsch


Anzeige
Spiele-Angebote
  1. etwa 8,38€
  2. 19,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Remote Desktop

    Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

  2. Telekom-Chef

    Regulierung soll an schlechtem Glasfaserausbau schuld sein

  3. Hacker One

    Nur 20 Prozent der Bounty-Jäger hacken in Vollzeit

  4. Memories of Mars

    Basisbau und Überlebenskampf auf dem Roten Planeten

  5. Elektromobilität

    Audi testet intelligentes Energiesystem für daheim

  6. Mi Notebook Air

    Xiaomi baut Quadcore und Nvidia-Grafik ein

  7. Amazon Go

    Kassenloser Supermarkt öffnet

  8. Microsoft

    Großer Widerstand gegen US-Zugriff auf weltweite Cloud-Daten

  9. Künstliche Intelligenz

    Microsofts Bot zeichnet auf Geheiß alles

  10. Gemeinsame Bearbeitung

    Office für Mac wird teamfähig



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames-Rundschau: Krawall mit Knetmännchen und ein Mann im Fass
Indiegames-Rundschau
Krawall mit Knetmännchen und ein Mann im Fass
  1. Games 2017 Die besten Indiespiele des Jahres
  2. Indiegames-Rundschau Von Weltraumpiraten und dem Wunderdoktor

BeA: Soldan will Anwälten das Internet ausdrucken
BeA
Soldan will Anwälten das Internet ausdrucken
  1. BeA Bundesrechtsanwaltskammer stellt Zahlungen an Atos ein
  2. Chipkarten-Hersteller Thales übernimmt Gemalto
  3. Atos Gemalto bekommt 4,3-Milliarden-Euro-Angebot

Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. US-Wahl 2016 Twitter findet weitere russische Manipulationskonten
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

  1. Re: Halt deine sch**ß Fr*ss* und bau einfach mal...

    sundilsan | 11:20

  2. Re: War das nicht die SPD, die seit 2013 keine...

    Palerider | 11:20

  3. Re: Fehlen nur noch die Angebotsabhängigen...

    Riemen | 11:20

  4. Re: Kein Problem, liebe USA

    Schönwetter E... | 11:19

  5. Regulierung ist immer schlecht für die...

    sundilsan | 11:19


  1. 11:29

  2. 10:58

  3. 10:43

  4. 10:28

  5. 10:10

  6. 09:31

  7. 09:16

  8. 09:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel