Original-URL des Artikels: https://www.golem.de/news/bugs-in-encase-mit-dem-forensik-tool-die-polizei-hacken-1612-124908.html    Veröffentlicht: 06.12.2016 14:50    Kurz-URL: https://glm.io/124908

Bugs in Encase

Mit dem Forensik-Tool die Polizei hacken

Strafverfolgungsbehörden weltweit nutzen die Forensiksoftware Encase. Doch einige Sicherheitslücken in der Software können zu einem Absturz der Software führen - oder sogar zur Codeausführung missbraucht werden.

Eine von zahlreichen Polizeidienststellen, Unternehmen und Sicherheitsbehörden eingesetzte Forensiksoftware weist laut einer Analyse der Sicherheitsfirma SEC Consult aus Wien mehrere Schwachstellen auf, mit denen ein Crash des Programms oder sogar die Ausführung von Code provoziert werden können soll. Der Hersteller reagierte auf die Offenlegung der Sicherheitsforscher nur zögerlich - nicht das erste Mal.

Mit der Software Encase können Ermittlungsbehörden genaue forensische Analysen von Festplatten erstellen. Die gefundenen Fehler sind sowohl in der kostenfreien Version Encase 7 als auch in der kostenpflichtigen Pro-Version zu finden. Encase soll nicht nur bei der Analyse von Daten helfen, die Macher werben auch mit einer Entschlüsselungsfunktion für Lösungen wie Dell Data Protection und McAfee. Und mit Tableau Password Recovery soll es auch möglich sein, Passwörter von den Datenträgern auszulesen.

Die verschiedenen Sicherheitslücken gefunden hat der Sicherheitsforscher Wolfgang Ettlinger. Einerseits lässt sich die Software mit speziell präparierten Partitionen gezielt zum Absturz bringen, andererseits soll es nach Angaben des Security Reports sogar möglich sein, mit einer manipulierten Partition im Linux-Dateisystemformat ReiserFS einen Buffer Overflow zu nutzen, um vom Angreifer kontrollierten Code zur Ausführung zu bringen.

Programm kann gezielt zum Absturz gebracht werden

Mit der ersten gefundenen Sicherheitslücke kann das Forensikwerkzeug durch Nutzung bestimmter Parameter gezielt zum Absturz gebracht werden. Das ist mit Partitionen in verschiedenen Formaten möglich, etwa Ext3, Iso9660, ReiserFS und durch eine manipulierte Partitionstabelle (GPT). Die Partitionen sind nach Angaben von Johannes Greil, der bei SEC Consult die interne Recherche-Abteilung Vulnerability Lab leitet, komplett funktionsfähig. Kriminelle, die eine Analyse ihrer Daten durch das Tool verhindern wollen, könnten also eine entsprechende Partition auf ihrem Laptop einrichten oder USB-Sticks präparieren. Um die Daten auszuwerten, müsste dann eine andere Forensiksoftware eingesetzt werden.

Der Fehler geht aber offenbar über einen reinen Crash der Applikation hinaus: Wird bei einer Ext-3-Partition der Wert für die Inode-Struktur des Dateisystems auf 0xFFFF gesetzt, kann Encase Forensic Imager über den eigentlich reservierten Speicherbereich (VirtualAlloc) hinaus schreiben. Möglicherweise ließe sich hieraus ein Exploit bauen, der die Ausführung von Code ermöglicht.

Auch bei CD- oder DVD-Images im ISO9660-Format können Dateinamen mit einer bestimmten Länge dazu führen, dass die Applikation abstürzt, aber noch Speicher über den eigentlich zugewiesenen Bereich ausliest.

Mit ReiserFS in den Heap-Speicher schreiben

Wer ReiserFS einsetzt, kann die Blockgröße auf über 0x200 setzen, in diesem Fall überschreibt die Applikation den Heap-Speicher mit vom Angreifer kontrollierten Code. Aus diesem Grund ist es nach Angaben von SEC Consult auch möglich, den überschriebenen Speicherbereich zu nutzen, um dem Programm vom Angreifer kontrollierten Code zu übergeben.

Einen funktionierenden Exploit hat das Team von SEC Consult bislang nicht entwickelt: "Wir können keine kostenlose Qualitätsprüfung für Hersteller übernehmen", sagt uns Johannes Greil.

Encase-Hersteller Guidance-Software sieht hingegen keine Sicherheitsprobleme. Die demonstrierten Sicherheitslücken seien "theoretisch" und würden bei Kunden des Herstellers keine Rolle spielen. Das Unternehmen teilt mit: "Wir sind uns der von SEC Consult gefundenen angeblichen Sicherheitslücken bewusst, halten diese aber nicht für problematisch." Die Empfehlung, das Programm nicht zu nutzen, teile man daher ausdrücklich nicht.

Die Guidance-Software arbeite auf Bit-Ebene, um möglichst viele Informationen von einer Festplatte zu erheben. Da könne es durchaus passieren, dass bösartiger Code das Programm zum Absturz bringt - dies würde aber nicht zu ernsthaften Problemen führen. Der präsentierte Speicherfehler sei ebenfalls nur theoretisch, weil kein Exploit entwickelt wurde. Immerhin: In der neuesten Version von Encase, Version 8, sollen die Fehler behoben sein.

Wieso überhaupt Encase untersuchen?

Doch wieso hat SEC Consult die Software von Guidance überhaupt untersucht? Immer wieder würde die Firma häufig genutzte Werkzeuge auf Schwachstellen abklopfen, sagt Greil. Wie viele Sicherheitsforscher, zeigte er sich von der Reaktion des Encase-Herstellers Guidance Software enttäuscht. "Wir suchen zunächst immer nach einem Security-Kontakt auf der Homepage. Wenn das nicht klappt, fragen wir eine generelle Adresse an und bitten um entsprechende Kontakte", sagt Greil.

Doch im Fall von Guidance Software hätte man auch 20 Tage nach Einreichung der Schwachstelle keinen Kontakt gehabt. Nach Maßgabe der eigenen Disclosure-Guidelines hat sich SEC Consult entschieden, Informationen zur Sicherheitslücke 30 Tage nach der Information des Herstellers zu veröffentlichen.  (hg)


Verwandte Artikel:
Forensik: Elcomsoft kann jetzt Whatsapp auf Android knacken   
(03.02.2017, https://glm.io/125994 )
ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte   
(09.03.2018, https://glm.io/133258 )
LLVM 6.0: Clang bekommt Maßnahme gegen Spectre-Angriff   
(09.03.2018, https://glm.io/133241 )
Government Hack: Hack on German Government via E-Learning Software Ilias   
(08.03.2018, https://glm.io/133231 )
Bundeshack: Hack auf Bundesregierung erfolgte über Lernplattform Ilias   
(08.03.2018, https://glm.io/133227 )

© 1997–2019 Golem.de, https://www.golem.de/