Forscher warnen vor Zero-Day-Lücke in Symantec Encryption Desktop

Der Sicherheitsanbieter Nettitude hat eine schwerwiegende Sicherheitslücke in Symantec Encryption Desktop entdeckt. Angreifer sind unter Umständen in der Lage, beliebige Daten von Festplatten zu lesen oder gar zu schreiben. Symantec ist die Anfälligkeit zwar seit Juli bekannt. Alle Versuche, mit Unterstützung von Nettitude einen wirksamen Patch für die Verschlüsselungssoftware zu entwickeln, waren bisher jedoch erfolglos.

Da Schreibzugriffe auf Sektor-Ebene möglich sind, können Hacker laut Nettitude auch den Master Boot Record beziehungsweise den Volume Boot Record verändern und dauerhaft Schadsoftware installieren. Darüber hinaus soll die Schwachstelle das Ausführen von Schadcode mit System-Rechten erlauben, ohne dass ein Neustart erforderlich ist.

In einem Video zeigen die Forscher, wie sich die Anfälligkeit unter Windows 10 Version 1709 (Fall Creators Update) ausnutzen lässt. Fehlerhaft ist demnach der Kernel-Treiber PGPwded.sys, der eigentlich nicht autorisierte Lese- und Schreibzugriffe unterbinden soll. Bestimmte Input/Output Control Requests (IOCTL) sollen jedoch genau das zulassen.

„Die Kombination der beiden IOCTLs erlaubt es dem Angreifer, beliebige Daten zu verarbeiten und zu modifizieren“, heißt es dazu in einem Blogeintrag. „Die Folgen reichen vom Missbrauch des MBR für die Installation eines Bootkit bis zur Zerstörung oder Veränderung von Daten oder einer Rechteausweitung, um Code als System User auszuführen.“

Betroffen sind Symantec Encryption Desktop Version 10.4.1 MP2HF1 (Build 777) und früher. Die Sicherheitslücke steckt darüber hinaus in Symantec Endpoint Encryption 11.1.3 MP1 (Build 810) und früher. Letzteres ist allerdings nur eingeschränkt angreifbar, da es gewöhnlich zur vollständigen Verschlüsselung von Festplatten eingesetzt wird, was in der Praxis nur nicht lesbare Daten zu Tage fördert. Da der Master Boot Record jedoch nicht verschlüsselt werde, sei es trotzdem möglich, ein Bootkit einzuschleusen und darüber auch Ransomware wie Petya mit den höchstmöglichen Rechten auszuführen.

Nettitude weist zudem darauf hin, dass Symantec erstmals im Oktober die Beseitigung aller Fehler meldete. Eine Kontrolle durch Nettitude habe jedoch gezeigt, dass der Patch nicht funktioniere. Auch ein weiterer am 12. Oktober bereitgestellter Patch habe das Problem nicht gelöst. Seitdem habe sich Symantec nicht mehr gemeldet, was schließlich zur Offenlegung der Sicherheitslücke führte.

WEBINAR

HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt

Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Allianz für weiteres Wachstum: TIMETOACT GROUP erwirbt Transformationsexperten PKS

Führender Anbieter von IT-Dienstleistungen für Mittelständler, Konzerne und öffentliche Einrichtungen im DACH-Raum erwirbt Software-Transformationsexperten.

2 Stunden ago

CrowdStrike: Verbreitung von Linux-Malware nimmt zu

Das Plus liegt im Vergleich zu 2020 bei rund 35 Prozent. Am häufigsten kommen die…

18 Stunden ago

Auch moderne Smartphones von Sicherheitslücken in 2G-Netzwerken betroffen

Google bietet nun in Android 12 grundsätzlich die Option, 2G-Netze nicht zu nutzen. Die EFF…

19 Stunden ago

Microsoft: Gegen Ukraine eingesetzte Malware ist keine Ransomware

Sie ersetzt den Master Boot Record durch eine Lösegeldforderung. Die Malware besitzt jedoch keine Funktion,…

2 Tagen ago

ASM hilft Risiken priorisieren

Die Marktforscher von Forrester erklären das Thema Attack Surface Management (ASM) zum neuen Trend aus.…

2 Tagen ago

Schwachstellen in AWS Glue und AWS Cloud Formation entdeckt

Das Orca Security Research Team hat Sicherheitslücken im Amazon Web Services AWS Glue-Service sowie zur…

5 Tagen ago