Forscher warnen vor Zero-Day-Lücke in Symantec Encryption Desktop

Der Sicherheitsanbieter Nettitude hat eine schwerwiegende Sicherheitslücke in Symantec Encryption Desktop entdeckt. Angreifer sind unter Umständen in der Lage, beliebige Daten von Festplatten zu lesen oder gar zu schreiben. Symantec ist die Anfälligkeit zwar seit Juli bekannt. Alle Versuche, mit Unterstützung von Nettitude einen wirksamen Patch für die Verschlüsselungssoftware zu entwickeln, waren bisher jedoch erfolglos.

Da Schreibzugriffe auf Sektor-Ebene möglich sind, können Hacker laut Nettitude auch den Master Boot Record beziehungsweise den Volume Boot Record verändern und dauerhaft Schadsoftware installieren. Darüber hinaus soll die Schwachstelle das Ausführen von Schadcode mit System-Rechten erlauben, ohne dass ein Neustart erforderlich ist.

In einem Video zeigen die Forscher, wie sich die Anfälligkeit unter Windows 10 Version 1709 (Fall Creators Update) ausnutzen lässt. Fehlerhaft ist demnach der Kernel-Treiber PGPwded.sys, der eigentlich nicht autorisierte Lese- und Schreibzugriffe unterbinden soll. Bestimmte Input/Output Control Requests (IOCTL) sollen jedoch genau das zulassen.

„Die Kombination der beiden IOCTLs erlaubt es dem Angreifer, beliebige Daten zu verarbeiten und zu modifizieren“, heißt es dazu in einem Blogeintrag. „Die Folgen reichen vom Missbrauch des MBR für die Installation eines Bootkit bis zur Zerstörung oder Veränderung von Daten oder einer Rechteausweitung, um Code als System User auszuführen.“

Betroffen sind Symantec Encryption Desktop Version 10.4.1 MP2HF1 (Build 777) und früher. Die Sicherheitslücke steckt darüber hinaus in Symantec Endpoint Encryption 11.1.3 MP1 (Build 810) und früher. Letzteres ist allerdings nur eingeschränkt angreifbar, da es gewöhnlich zur vollständigen Verschlüsselung von Festplatten eingesetzt wird, was in der Praxis nur nicht lesbare Daten zu Tage fördert. Da der Master Boot Record jedoch nicht verschlüsselt werde, sei es trotzdem möglich, ein Bootkit einzuschleusen und darüber auch Ransomware wie Petya mit den höchstmöglichen Rechten auszuführen.

Nettitude weist zudem darauf hin, dass Symantec erstmals im Oktober die Beseitigung aller Fehler meldete. Eine Kontrolle durch Nettitude habe jedoch gezeigt, dass der Patch nicht funktioniere. Auch ein weiterer am 12. Oktober bereitgestellter Patch habe das Problem nicht gelöst. Seitdem habe sich Symantec nicht mehr gemeldet, was schließlich zur Offenlegung der Sicherheitslücke führte.

WEBINAR

HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt

Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Dezember-Patchday: Microsoft schließt Zero-Day-Lücke

Die öffentlich bekannte und bereits ausgenutzte Schwachstelle erlaubt eine Rechteausweitung. Betroffen sind alle unterstützten Versionen…

36 Minuten ago

Quantencomputer: Google meldet Durchbruch bei Fehlerkorrektur

Der neue Quantenchip Willow löst eine Herausforderung, an der seit 30 Jahren gearbeitet wird. Google…

19 Stunden ago

OpenAI veröffentlicht KI-Video-Tool Sora

Es erstellt kurze Videoclips aus Textaufforderungen. Sora steht ab sofort Abonnenten von ChatGPT Plus und…

19 Stunden ago

KI-Modell „Made in Germany“

Telekom bietet als erstes Unternehmen kommerzielles Angebot mit Teuken-7B von OpenGPT-X.

23 Stunden ago

Studie: Mitarbeiterverhalten verursacht IT-Sicherheitsrisiken

Zur Arbeitserleichterung umgehen Mitarbeiter unter anderem Cybersicherheitsrichtlinien. Dazu gehört wie Wiederverwendung von Kennwörtern für geschäftliche…

2 Tagen ago

Lichtgeschwindigkeit für generative KI

Optiktechnologie könnte elektrische Verbindungen in Rechenzentren ersetzen und so Geschwindigkeit und Energieeffizienz für KI erheblich…

2 Tagen ago