Sandbox-Leak: Daten über die Antiviren-Cloud herausschmuggeln

Heutige Antivirenprogramme laden häufig verdächtige Dateien in Cloud-Systeme des jeweiligen Anbieters hoch. Das können Angreifer nutzen, um Daten aus Systemen ohne Netzwerkzugriff herauszuschmuggeln.

Artikel veröffentlicht am , Hanno Böck
Ob es so eine gute Idee ist, alle verdächtigen Dateien in die Cloud hochzuladen?
Ob es so eine gute Idee ist, alle verdächtigen Dateien in die Cloud hochzuladen? (Bild: Kaspersky / Screenshot)

Cloud-basierte Antivirenprogramme werden immer häufiger eingesetzt. Verdächtige Dateien werden dabei in ein System des Herstellers hochgeladen und dort im Detail analysiert. Zwei Sicherheitsforscher der Firma Safebreach konnten nun auf der Black Hat zeigen, dass die Dateien bei manchen Antivirenprogrammen in einer Sandbox mit Netzwerkzugriff ausgeführt werden. Das können auch Angreifer ausnutzen.

Stellenmarkt
  1. IT-Spezialist (m/w/d) Personalmanagementsoftware
    Evangelische Landeskirche in Württemberg, Stuttgart
  2. Softwareentwickler (m/w/d) C# / .NET
    Alarm IT Factory GmbH, Stuttgart
Detailsuche

Das Szenario, von dem Safebreach hier ausgeht, ist folgendes: In Umgebungen mit hohen Sicherheitsanforderungen setzt man häufig auf Systeme, die überhaupt keinen Netzwerkzugriff haben. Im Extremfall nutzt man Airgapped-Systeme, die rein physikalisch nicht mit einem Netzwerk verbunden sind. Damit wird verhindert, dass irgendwelche Daten das System verlassen können, selbst wenn es mit Malware infiziert ist.

Nur die Antivirensoftware darf aufs Netz zugreifen

Doch in manchen Fällen sperrt man den Netzwerkzugriff nur für normale Nutzerapplikationen, erlaubt aber weiterhin den Netzwerkzugriff für bestimmte Anwendungen - beispielsweise ein System, auf dem man selektiv den Netzwerkzugriff für Systemupdates und für ein Antivirenprogramm zulässt.

In einem solchen Fall kann die Antivirensoftware als Vektor zur Exfiltration von Daten genutzt werden. Eine Malware, die lokal auf dem System läuft und bisher nicht erkannt wurde - die Erkennung von Antiviren-Programmen auszutricksen ist in aller Regel kein allzu großes Problem - erstellt dabei eine ausführbare Datei, die sich wie eine typische Malware verhält.

Golem Akademie
  1. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    21.–24. Februar 2022, virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
Weitere IT-Trainings

Die Antivirensoftware erkennt dies und lädt die Datei in die Antiviren-Cloud. Die erstellte ausführbare Datei enthält dabei geheime Daten des Systems. Sobald sie in der Sandbox des Antivirenherstellers ausgeführt wird, überträgt sie die Daten an den Server des Angreifers. Bemerkenswert daran ist, dass offenbar mehrere Antivirenhersteller den Applikationen in ihrer Test-Sandbox erlaubten, Netzwerkverbindungen aufzubauen.

Betroffen waren dabei Avira, ESET, Comodo und Kaspersky. Bei Eset gab es eine Besonderheit: Die Datei in der Sandbox konnte keine normalen HTTP-Verbindungen aufbauen. Die Daten konnten aber trotzdem exfiltriert werden, indem sie als DNS-Anfragen codiert wurden.

Avira, ESET und Comodo hatten das Problem nach kurzer Zeit behoben und erlauben nun keine Netzwerkzugriffe aus der Cloud-Sandbox mehr. Kaspersky hingegen wollte das Problem nicht beheben. Kunden, die sich vor einem entsprechenden Szenario schützen wollen, könnten die Cloud-Sandbox deaktivieren.

Lauern in der Cloud-Sandbox weitere Lücken?

Auch wenn das Angriffsszenario in diesem Fall eher ungewöhnlich ist und vermutlich nicht allzu viele Systeme betrifft, wirft der Angriff auch weitere Fragen auf. Denn faktisch ermöglicht das testweise Ausführen von verdächtigen ausführbaren Dateien einem Angreifer, Code auf den Servern der Antivirenhersteller auszuführen. Daraus könnten sich weitere Sicherheitslücken ergeben, wenn ein Angreifer dies ausnutzt, um direkt die Server der Antiviren-Firmen anzugreifen.

Durch korrekt eingesetztes Sandboxing oder mittels Virtualisierung könnte man solche Angriffe sicher verhindern. Aber da Antivirenfirmen nicht gerade dafür bekannt sind, besonders sichere Software zu schreiben, erscheint es durchaus denkbar, dass hier weitere Sicherheitsprobleme lauern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Naomi "SexyCyborg" Wu
Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig

Naomi Wu wird in der Maker-Szene für ihr Fachwissen geschätzt. Youtube demonetarisiert sie aber wohl wegen ihrer Körperproportionen.

Naomi SexyCyborg Wu: Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig
Artikel
  1. Quartalsbericht: Apples Gewinn stellt alles in den Schatten
    Quartalsbericht
    Apples Gewinn stellt alles in den Schatten

    Apple erwirtschaftet im letzten Quartal des Vorjahres einen Gewinn von 34,6 Milliarden US-Dollar. Und das trotz Chipkrise und weiteren Lieferengpässen.

  2. Coronapandemie: 42,6 Millionen mehr digitale Impfzertifikate als Impfdosen
    Coronapandemie
    42,6 Millionen mehr digitale Impfzertifikate als Impfdosen

    Einem Medienbericht zufolge gibt es eine Lücke zwischen ausgestellten Impfnachweisen und verabreichten Dosen. Diese wird sogar noch größer.

  3. Akamai: Steigende Nachfrage für illegale Kopien von Filmen
    Akamai
    Steigende Nachfrage für illegale Kopien von Filmen

    Durch die vielen neuen Streaming-Dienste ist illegales Filesharing wieder stark im Kommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RX 6900 XTU 16GB 1.449€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Acer Gaming-Monitor 119,90€ • Logitech Gaming-Headset 75€ • iRobot Saugroboter ab 289,99€ • 1TB SSD PCIe 4.0 128,07€ • Razer Gaming-Tastatur 155€ • GOG New Year Sale: bis zu 90% Rabatt • LG OLED 65 Zoll 1.599€ [Werbung]
    •  /