Forscher warnen vor Zero-Day-Lücke in Symantec Encryption Desktop

Der Sicherheitsanbieter Nettitude hat eine schwerwiegende Sicherheitslücke in Symantec Encryption Desktop entdeckt. Angreifer sind unter Umständen in der Lage, beliebige Daten von Festplatten zu lesen oder gar zu schreiben. Symantec ist die Anfälligkeit zwar seit Juli bekannt. Alle Versuche, mit Unterstützung von Nettitude einen wirksamen Patch für die Verschlüsselungssoftware zu entwickeln, waren bisher jedoch erfolglos.

Da Schreibzugriffe auf Sektor-Ebene möglich sind, können Hacker laut Nettitude auch den Master Boot Record beziehungsweise den Volume Boot Record verändern und dauerhaft Schadsoftware installieren. Darüber hinaus soll die Schwachstelle das Ausführen von Schadcode mit System-Rechten erlauben, ohne dass ein Neustart erforderlich ist.

In einem Video zeigen die Forscher, wie sich die Anfälligkeit unter Windows 10 Version 1709 (Fall Creators Update) ausnutzen lässt. Fehlerhaft ist demnach der Kernel-Treiber PGPwded.sys, der eigentlich nicht autorisierte Lese- und Schreibzugriffe unterbinden soll. Bestimmte Input/Output Control Requests (IOCTL) sollen jedoch genau das zulassen.

„Die Kombination der beiden IOCTLs erlaubt es dem Angreifer, beliebige Daten zu verarbeiten und zu modifizieren“, heißt es dazu in einem Blogeintrag. „Die Folgen reichen vom Missbrauch des MBR für die Installation eines Bootkit bis zur Zerstörung oder Veränderung von Daten oder einer Rechteausweitung, um Code als System User auszuführen.“

Betroffen sind Symantec Encryption Desktop Version 10.4.1 MP2HF1 (Build 777) und früher. Die Sicherheitslücke steckt darüber hinaus in Symantec Endpoint Encryption 11.1.3 MP1 (Build 810) und früher. Letzteres ist allerdings nur eingeschränkt angreifbar, da es gewöhnlich zur vollständigen Verschlüsselung von Festplatten eingesetzt wird, was in der Praxis nur nicht lesbare Daten zu Tage fördert. Da der Master Boot Record jedoch nicht verschlüsselt werde, sei es trotzdem möglich, ein Bootkit einzuschleusen und darüber auch Ransomware wie Petya mit den höchstmöglichen Rechten auszuführen.

Nettitude weist zudem darauf hin, dass Symantec erstmals im Oktober die Beseitigung aller Fehler meldete. Eine Kontrolle durch Nettitude habe jedoch gezeigt, dass der Patch nicht funktioniere. Auch ein weiterer am 12. Oktober bereitgestellter Patch habe das Problem nicht gelöst. Seitdem habe sich Symantec nicht mehr gemeldet, was schließlich zur Offenlegung der Sicherheitslücke führte.

WEBINAR

HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt

Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SEO-Beratung von Spezialisten wie WOXOW: Deshalb wird sie immer wichtiger

Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…

9 Stunden ago

Umfrage: Weniger als die Hälfte der digitalen Initiativen sind erfolgreich

Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…

10 Stunden ago

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

1 Tag ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

1 Tag ago

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

1 Tag ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Tagen ago