Alert!

Von wegen Schutz: NOD32 erlaubt das Kapern von Rechnern

Statt die Nutzer zu schützen erlaubte NOD32 von Eset es Angreifern, die Rechner der Opfer komplett zu übernehmen. Das Update, welches die Lücke schließt, sollte schleunigst eingespielt werden.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 156 Beiträge

(Bild: Project Zero)

Von
  • Fabian A. Scherschel

Der Virenscanner NOD32 von Eset konnte von Angreifern missbraucht werden, Schadcode mit Systemrechten auszuführen. Die Sicherheitslücke wurde nun von Googles Project Zero bekanntgegeben, nachdem Eset sie bereits geschlossen hatte. Betroffen sind Versionen von NOD32 auf Windows, OS X und Linux, da die fehlerhafte Sandbox auf allen Betriebssystemen ähnlich funktioniert.

Der Fehler steckt in der Sandbox, mit der NOD32 ausführbare Archive prüft. Diese werden erst einmal in einer kontrollierten Umgebung ausgeführt, um zu gucken ob der entpackte Code an Hand von Signaturen als bösartig identifiziert werden kann. Leider hat diese Funktion von NOD32 allerdings eklatante Mängel, so dass der Angreifer den Prozess kapern kann und dann Systemrechte erhält. Wenn der Hintegrund-Scan aktiviert ist, muss ein Angreifer ein entsprechendes Archiv nur auf die Platte geschrieben bekommen, da in diesem Fall die verwundbare Sandbox direkt greift.

Wie Sicherheitsforscher Tavis Ormandy von Project Zero schreibt, ist der Angriff relativ trivial. Es gebe viele Möglichkeiten, Opfern von außen ein entsprechend präpariertes Archiv unterzuschieben. Da keine Benutzer-Interaktion für den Angriff erforderlich ist, sei die Schwachstelle ein perfektes Szenario für einen Wurm, der sich etwa per Chats automatisch verbreitet. Ormandy hat mit seinem Bericht ebenfalls Exploit-Code veröffentlicht.

Ein Abschalten des Hintergrund-Scans schränkt die Gefährlichkeit des Angriffs zwar ein, da der Benutzer die selbstentpackenden Archive dann manuell ausführen muss, allerdings warnt NOD32 sehr eindringlich und sehr oft davor, diese Funktion abzuschalten. Betroffen sind folgende Produkte:

  • ESET NOD32 Antivirus für Windows
  • ESET Smart Security für Windows
  • ESET Endpoint Security für Windows und OS X
  • ESET Cyber Security Pro für OS X
  • ESET NOD32 für Linux
  • ESET NOD32 Business Edition

Nutzer dieser Programme sollten sicherstellen, dass die Scanner mit allen verfügbaren Updates versorgt sind. Update 11824 von Eset schließt die Lücke. (fab)