Forscher warnen vor Zero-Day-Lücke in Symantec Encryption Desktop

Der Sicherheitsanbieter Nettitude hat eine schwerwiegende Sicherheitslücke in Symantec Encryption Desktop entdeckt. Angreifer sind unter Umständen in der Lage, beliebige Daten von Festplatten zu lesen oder gar zu schreiben. Symantec ist die Anfälligkeit zwar seit Juli bekannt. Alle Versuche, mit Unterstützung von Nettitude einen wirksamen Patch für die Verschlüsselungssoftware zu entwickeln, waren bisher jedoch erfolglos.

Da Schreibzugriffe auf Sektor-Ebene möglich sind, können Hacker laut Nettitude auch den Master Boot Record beziehungsweise den Volume Boot Record verändern und dauerhaft Schadsoftware installieren. Darüber hinaus soll die Schwachstelle das Ausführen von Schadcode mit System-Rechten erlauben, ohne dass ein Neustart erforderlich ist.

In einem Video zeigen die Forscher, wie sich die Anfälligkeit unter Windows 10 Version 1709 (Fall Creators Update) ausnutzen lässt. Fehlerhaft ist demnach der Kernel-Treiber PGPwded.sys, der eigentlich nicht autorisierte Lese- und Schreibzugriffe unterbinden soll. Bestimmte Input/Output Control Requests (IOCTL) sollen jedoch genau das zulassen.

„Die Kombination der beiden IOCTLs erlaubt es dem Angreifer, beliebige Daten zu verarbeiten und zu modifizieren“, heißt es dazu in einem Blogeintrag. „Die Folgen reichen vom Missbrauch des MBR für die Installation eines Bootkit bis zur Zerstörung oder Veränderung von Daten oder einer Rechteausweitung, um Code als System User auszuführen.“

Betroffen sind Symantec Encryption Desktop Version 10.4.1 MP2HF1 (Build 777) und früher. Die Sicherheitslücke steckt darüber hinaus in Symantec Endpoint Encryption 11.1.3 MP1 (Build 810) und früher. Letzteres ist allerdings nur eingeschränkt angreifbar, da es gewöhnlich zur vollständigen Verschlüsselung von Festplatten eingesetzt wird, was in der Praxis nur nicht lesbare Daten zu Tage fördert. Da der Master Boot Record jedoch nicht verschlüsselt werde, sei es trotzdem möglich, ein Bootkit einzuschleusen und darüber auch Ransomware wie Petya mit den höchstmöglichen Rechten auszuführen.

Nettitude weist zudem darauf hin, dass Symantec erstmals im Oktober die Beseitigung aller Fehler meldete. Eine Kontrolle durch Nettitude habe jedoch gezeigt, dass der Patch nicht funktioniere. Auch ein weiterer am 12. Oktober bereitgestellter Patch habe das Problem nicht gelöst. Seitdem habe sich Symantec nicht mehr gemeldet, was schließlich zur Offenlegung der Sicherheitslücke führte.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.