Abo
  • Services:

Sandbox-Leak: Daten über die Antiviren-Cloud herausschmuggeln

Heutige Antivirenprogramme laden häufig verdächtige Dateien in Cloud-Systeme des jeweiligen Anbieters hoch. Das können Angreifer nutzen, um Daten aus Systemen ohne Netzwerkzugriff herauszuschmuggeln.

Artikel veröffentlicht am , Hanno Böck
Ob es so eine gute Idee ist, alle verdächtigen Dateien in die Cloud hochzuladen?
Ob es so eine gute Idee ist, alle verdächtigen Dateien in die Cloud hochzuladen? (Bild: Kaspersky / Screenshot)

Cloud-basierte Antivirenprogramme werden immer häufiger eingesetzt. Verdächtige Dateien werden dabei in ein System des Herstellers hochgeladen und dort im Detail analysiert. Zwei Sicherheitsforscher der Firma Safebreach konnten nun auf der Black Hat zeigen, dass die Dateien bei manchen Antivirenprogrammen in einer Sandbox mit Netzwerkzugriff ausgeführt werden. Das können auch Angreifer ausnutzen.

Stellenmarkt
  1. WESTPRESS GmbH & Co. KG, Hamm
  2. DZ PRIVATBANK S.A., Luxemburg

Das Szenario, von dem Safebreach hier ausgeht, ist folgendes: In Umgebungen mit hohen Sicherheitsanforderungen setzt man häufig auf Systeme, die überhaupt keinen Netzwerkzugriff haben. Im Extremfall nutzt man Airgapped-Systeme, die rein physikalisch nicht mit einem Netzwerk verbunden sind. Damit wird verhindert, dass irgendwelche Daten das System verlassen können, selbst wenn es mit Malware infiziert ist.

Nur die Antivirensoftware darf aufs Netz zugreifen

Doch in manchen Fällen sperrt man den Netzwerkzugriff nur für normale Nutzerapplikationen, erlaubt aber weiterhin den Netzwerkzugriff für bestimmte Anwendungen - beispielsweise ein System, auf dem man selektiv den Netzwerkzugriff für Systemupdates und für ein Antivirenprogramm zulässt.

In einem solchen Fall kann die Antivirensoftware als Vektor zur Exfiltration von Daten genutzt werden. Eine Malware, die lokal auf dem System läuft und bisher nicht erkannt wurde - die Erkennung von Antiviren-Programmen auszutricksen ist in aller Regel kein allzu großes Problem - erstellt dabei eine ausführbare Datei, die sich wie eine typische Malware verhält.

Die Antivirensoftware erkennt dies und lädt die Datei in die Antiviren-Cloud. Die erstellte ausführbare Datei enthält dabei geheime Daten des Systems. Sobald sie in der Sandbox des Antivirenherstellers ausgeführt wird, überträgt sie die Daten an den Server des Angreifers. Bemerkenswert daran ist, dass offenbar mehrere Antivirenhersteller den Applikationen in ihrer Test-Sandbox erlaubten, Netzwerkverbindungen aufzubauen.

Betroffen waren dabei Avira, ESET, Comodo und Kaspersky. Bei Eset gab es eine Besonderheit: Die Datei in der Sandbox konnte keine normalen HTTP-Verbindungen aufbauen. Die Daten konnten aber trotzdem exfiltriert werden, indem sie als DNS-Anfragen codiert wurden.

Avira, ESET und Comodo hatten das Problem nach kurzer Zeit behoben und erlauben nun keine Netzwerkzugriffe aus der Cloud-Sandbox mehr. Kaspersky hingegen wollte das Problem nicht beheben. Kunden, die sich vor einem entsprechenden Szenario schützen wollen, könnten die Cloud-Sandbox deaktivieren.

Lauern in der Cloud-Sandbox weitere Lücken?

Auch wenn das Angriffsszenario in diesem Fall eher ungewöhnlich ist und vermutlich nicht allzu viele Systeme betrifft, wirft der Angriff auch weitere Fragen auf. Denn faktisch ermöglicht das testweise Ausführen von verdächtigen ausführbaren Dateien einem Angreifer, Code auf den Servern der Antivirenhersteller auszuführen. Daraus könnten sich weitere Sicherheitslücken ergeben, wenn ein Angreifer dies ausnutzt, um direkt die Server der Antiviren-Firmen anzugreifen.

Durch korrekt eingesetztes Sandboxing oder mittels Virtualisierung könnte man solche Angriffe sicher verhindern. Aber da Antivirenfirmen nicht gerade dafür bekannt sind, besonders sichere Software zu schreiben, erscheint es durchaus denkbar, dass hier weitere Sicherheitsprobleme lauern.



Anzeige
Top-Angebote
  1. 99,99€ (versandkostenfrei)
  2. (u. a. 32 GB 6,98€, 128 GB 23,58€)
  3. 54,99€
  4. 59,99€

Stefann 05. Aug 2017

Der Virenscanner ist eine ganz wichtige Sache und ich persönlich würde es nicht...

Cystasy 31. Jul 2017

Ist doch ganz einfach.. Welche Daten? -> Alle die von der Malware auf deinem Computer...


Folgen Sie uns
       


Dirt Rally 2.0 - Fazit

Brettern auf der Gerade, Zittern in der Kurve - wir haben Dirt Rally 2.0 getestet.

Dirt Rally 2.0 - Fazit Video aufrufen
Sechs Airpods-Konkurrenten im Test: Apple hat nicht die Längsten
Sechs Airpods-Konkurrenten im Test
Apple hat nicht die Längsten

Nach dem Klangsieger und dem Bedienungssieger haben wir im dritten Test den kabellosen Bluetooth-Hörstöpsel mit der weitaus besten Akkulaufzeit gefunden. Etwas war aber wieder nicht dabei: die perfekten True Wireless In-Ears.
Ein Test von Ingo Pakalski


    Fido-Sticks im Test: Endlich schlechte Passwörter
    Fido-Sticks im Test
    Endlich schlechte Passwörter

    Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
    Ein Test von Moritz Tremmel

    1. E-Mail-Marketing Datenbank mit 800 Millionen E-Mail-Adressen online
    2. Webauthn Standard für passwortloses Anmelden verabschiedet
    3. Studie Passwortmanager hinterlassen Passwörter im Arbeitsspeicher

    Zotac Geforce GTX 1660 Ti im Test: Gute 1440p-Karte für unter 300 Euro
    Zotac Geforce GTX 1660 Ti im Test
    Gute 1440p-Karte für unter 300 Euro

    Die Geforce GTX 1660 Ti von Zotac ist eine der günstigen Grafikkarten mit Nvidias Turing-Architektur, dennoch erhalten Käufer ein empfehlenswertes Modell: Der leise Pixelbeschleuniger rechnet praktisch so flott wie übertaktete Modelle, braucht aber weniger Energie.
    Ein Test von Marc Sauter

    1. Turing-Grafikkarten Nvidias Geforce 1660/1650 erscheint im März
    2. Grafikkarte Chip der Geforce GTX 1660 Ti ist überraschend groß
    3. Deep Learning Supersampling Nvidia will DLSS-Kantenglättung verbessern

      •  /