Der Sicherheitsanbieter Nettitude hat eine schwerwiegende Sicherheitslücke in Symantec Encryption Desktop entdeckt. Angreifer sind unter Umständen in der Lage, beliebige Daten von Festplatten zu lesen oder gar zu schreiben. Symantec ist die Anfälligkeit zwar seit Juli bekannt. Alle Versuche, mit Unterstützung von Nettitude einen wirksamen Patch für die Verschlüsselungssoftware zu entwickeln, waren bisher jedoch erfolglos.
In einem Video zeigen die Forscher, wie sich die Anfälligkeit unter Windows 10 Version 1709 (Fall Creators Update) ausnutzen lässt. Fehlerhaft ist demnach der Kernel-Treiber PGPwded.sys, der eigentlich nicht autorisierte Lese- und Schreibzugriffe unterbinden soll. Bestimmte Input/Output Control Requests (IOCTL) sollen jedoch genau das zulassen.
„Die Kombination der beiden IOCTLs erlaubt es dem Angreifer, beliebige Daten zu verarbeiten und zu modifizieren“, heißt es dazu in einem Blogeintrag. „Die Folgen reichen vom Missbrauch des MBR für die Installation eines Bootkit bis zur Zerstörung oder Veränderung von Daten oder einer Rechteausweitung, um Code als System User auszuführen.“
Betroffen sind Symantec Encryption Desktop Version 10.4.1 MP2HF1 (Build 777) und früher. Die Sicherheitslücke steckt darüber hinaus in Symantec Endpoint Encryption 11.1.3 MP1 (Build 810) und früher. Letzteres ist allerdings nur eingeschränkt angreifbar, da es gewöhnlich zur vollständigen Verschlüsselung von Festplatten eingesetzt wird, was in der Praxis nur nicht lesbare Daten zu Tage fördert. Da der Master Boot Record jedoch nicht verschlüsselt werde, sei es trotzdem möglich, ein Bootkit einzuschleusen und darüber auch Ransomware wie Petya mit den höchstmöglichen Rechten auszuführen.
Nettitude weist zudem darauf hin, dass Symantec erstmals im Oktober die Beseitigung aller Fehler meldete. Eine Kontrolle durch Nettitude habe jedoch gezeigt, dass der Patch nicht funktioniere. Auch ein weiterer am 12. Oktober bereitgestellter Patch habe das Problem nicht gelöst. Seitdem habe sich Symantec nicht mehr gemeldet, was schließlich zur Offenlegung der Sicherheitslücke führte.
Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…