Abo
  • IT-Karriere:

Sandbox-Leak: Daten über die Antiviren-Cloud herausschmuggeln

Heutige Antivirenprogramme laden häufig verdächtige Dateien in Cloud-Systeme des jeweiligen Anbieters hoch. Das können Angreifer nutzen, um Daten aus Systemen ohne Netzwerkzugriff herauszuschmuggeln.

Artikel veröffentlicht am , Hanno Böck
Ob es so eine gute Idee ist, alle verdächtigen Dateien in die Cloud hochzuladen?
Ob es so eine gute Idee ist, alle verdächtigen Dateien in die Cloud hochzuladen? (Bild: Kaspersky / Screenshot)

Cloud-basierte Antivirenprogramme werden immer häufiger eingesetzt. Verdächtige Dateien werden dabei in ein System des Herstellers hochgeladen und dort im Detail analysiert. Zwei Sicherheitsforscher der Firma Safebreach konnten nun auf der Black Hat zeigen, dass die Dateien bei manchen Antivirenprogrammen in einer Sandbox mit Netzwerkzugriff ausgeführt werden. Das können auch Angreifer ausnutzen.

Stellenmarkt
  1. IP Dynamics GmbH, Mitte Deutschland
  2. Witt-Gruppe, Weiden in der Oberpfalz

Das Szenario, von dem Safebreach hier ausgeht, ist folgendes: In Umgebungen mit hohen Sicherheitsanforderungen setzt man häufig auf Systeme, die überhaupt keinen Netzwerkzugriff haben. Im Extremfall nutzt man Airgapped-Systeme, die rein physikalisch nicht mit einem Netzwerk verbunden sind. Damit wird verhindert, dass irgendwelche Daten das System verlassen können, selbst wenn es mit Malware infiziert ist.

Nur die Antivirensoftware darf aufs Netz zugreifen

Doch in manchen Fällen sperrt man den Netzwerkzugriff nur für normale Nutzerapplikationen, erlaubt aber weiterhin den Netzwerkzugriff für bestimmte Anwendungen - beispielsweise ein System, auf dem man selektiv den Netzwerkzugriff für Systemupdates und für ein Antivirenprogramm zulässt.

In einem solchen Fall kann die Antivirensoftware als Vektor zur Exfiltration von Daten genutzt werden. Eine Malware, die lokal auf dem System läuft und bisher nicht erkannt wurde - die Erkennung von Antiviren-Programmen auszutricksen ist in aller Regel kein allzu großes Problem - erstellt dabei eine ausführbare Datei, die sich wie eine typische Malware verhält.

Die Antivirensoftware erkennt dies und lädt die Datei in die Antiviren-Cloud. Die erstellte ausführbare Datei enthält dabei geheime Daten des Systems. Sobald sie in der Sandbox des Antivirenherstellers ausgeführt wird, überträgt sie die Daten an den Server des Angreifers. Bemerkenswert daran ist, dass offenbar mehrere Antivirenhersteller den Applikationen in ihrer Test-Sandbox erlaubten, Netzwerkverbindungen aufzubauen.

Betroffen waren dabei Avira, ESET, Comodo und Kaspersky. Bei Eset gab es eine Besonderheit: Die Datei in der Sandbox konnte keine normalen HTTP-Verbindungen aufbauen. Die Daten konnten aber trotzdem exfiltriert werden, indem sie als DNS-Anfragen codiert wurden.

Avira, ESET und Comodo hatten das Problem nach kurzer Zeit behoben und erlauben nun keine Netzwerkzugriffe aus der Cloud-Sandbox mehr. Kaspersky hingegen wollte das Problem nicht beheben. Kunden, die sich vor einem entsprechenden Szenario schützen wollen, könnten die Cloud-Sandbox deaktivieren.

Lauern in der Cloud-Sandbox weitere Lücken?

Auch wenn das Angriffsszenario in diesem Fall eher ungewöhnlich ist und vermutlich nicht allzu viele Systeme betrifft, wirft der Angriff auch weitere Fragen auf. Denn faktisch ermöglicht das testweise Ausführen von verdächtigen ausführbaren Dateien einem Angreifer, Code auf den Servern der Antivirenhersteller auszuführen. Daraus könnten sich weitere Sicherheitslücken ergeben, wenn ein Angreifer dies ausnutzt, um direkt die Server der Antiviren-Firmen anzugreifen.

Durch korrekt eingesetztes Sandboxing oder mittels Virtualisierung könnte man solche Angriffe sicher verhindern. Aber da Antivirenfirmen nicht gerade dafür bekannt sind, besonders sichere Software zu schreiben, erscheint es durchaus denkbar, dass hier weitere Sicherheitsprobleme lauern.



Anzeige
Spiele-Angebote
  1. 2,49€
  2. (-57%) 6,50€
  3. 3,99€

Stefann 05. Aug 2017

Der Virenscanner ist eine ganz wichtige Sache und ich persönlich würde es nicht...

Cystasy 31. Jul 2017

Ist doch ganz einfach.. Welche Daten? -> Alle die von der Malware auf deinem Computer...


Folgen Sie uns
       


Escape Room in VR ausprobiert

Wir haben uns das Spiel Huxley von Exit VR näher angesehen.

Escape Room in VR ausprobiert Video aufrufen
Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Strom-Boje Mittelrhein: Schwimmende Kraftwerke liefern Strom aus dem Rhein
Strom-Boje Mittelrhein
Schwimmende Kraftwerke liefern Strom aus dem Rhein

Ein Unternehmen aus Bingen will die Strömung des Rheins nutzen, um elektrischen Strom zu gewinnen. Es installiert 16 schwimmende Kraftwerke in der Nähe des bekannten Loreley-Felsens.

  1. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
  2. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um
  3. Erneuerbare Energien Wellenkraft als Konzentrat

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

    •  /