0
TRENDMICRO und SOPHOS Denial of Service durch manipulierte RAR-Datei
Die Suche nach bekannten Viren geschieht mit einem Virenscanners.
Die meisten Virenscanner koennen auch innerhalb gepackter Dateien nach Schaedlingen
suchen.
In den nachfolgend beschriebenen Antivirenloesungen gibt es einen Sicherheitsanfaelligkeit
fuer Denial of Service Angriffe per remote explotation;
im Zusammenhang damit ist auch ein exzessiver Anstieg im Verbrauch von Systenressourcen zu
beobachten.
Betroffene Produkte:
- Sophos Small Business Edition (Windows/Linux) 4.06.1 mit
- Trend Micro PC Cillin - Internet Security 2006
- Trend Micro Office Scan 7.3
- Trend Micro Server Protect 5.58
iDefense hat die Sicherheitsanfealligkeit fuer die folgenden Produkte bestaetigt;
das bedeutet nicht, dass diese Liste einen Anspruch auf Vollstaendigkeit erhebt, da die
Hersteller dieser AV-Loesungen den gleichen Virenscanner auch in anderen Versionen ihrer
Produkte einsetzen.
Die Sicherheitsanfaelligkeit fuer die betroffenen Produkte ergibt sich beim Scannen eines
manipulierten *.RAR-Archives.
Dabei muessen im Archiv-Header die Felder head_size und pack_size auf Null gesetzt sein,
ist dies der Fall fuehren die Virenscanner eine Endlosschleife aus.
Durch die erfolgreiche Ausnutzung dieser Sicherheitsanfaelligkeit verbraucht der so
attakierte Virenscanner in exzessiven Masse Prozessorleistung und in manchen Faellen auch
Speicherressourcen
Um einen derartigen Angriff erfolgreich auszufuehren, muss das manipulierte *.RAR-Archiv
zunaechst auf einen Rechner geladen werden, dies kann durch Email-Anhaenge, per FTP,
Netzwerk-shares oder auch ueber Webformulare geschehen.
Die Folgen dieser Sicherheitsanfaelligkeit sind fuer genannten Produkte
nachstehend beschrieben:
Sophos:
Ob in einem gepackten Archiv gescannt wird oder nicht, ist bei diesem Produkt
standardmaessig nicht vorgegeben und muss vom Benutzer extra eingestellt werden.
Der Denial of Service - Angriff haelt den Virenscanner davon ab weitere Dateien und Archive
zu scannen, da er in einer Endlosschleife gefangen, damit beschaeftigt ist das manipulierte
*.RAR-Archiv zu untersuchen.
Der Scann-Prozess haengt also, kann aber vom Benutzer ohne weiteres gestoppt werden.
Zwischenloesung:
Sophos Small Business Edition (Windows/Linux) 4.06.1 mit
Virenscanner version 2.34.3.:
"Scannen in Archiven" auf "disabled" setzen.
Fuer die anderen Produkte dieses Herstellers ist noch keine Loesung bekannt
Mehr Informationen unter:
http://www.sophos.com/support/knowledgebase/article/7609.html
Trend Micro:
Bei einem Angriff verbraucht der Rechner 99% seiner CPU-Leistung und
muss Neu gestartet werden, um den Endlos-Scannprozess zu beenden.
Zwischenloesung:
Trend Micro stellte fest, dass die Version 8.320, ihres Virenscanners fuer Windowssysteme,
nicht von dieser Sicherheitsanfaelligkeit betroffen ist.
Ausserdem gibt es einen neuen Release ihres Virenscanners, fuer HPUX-, und AIX-Builds;
die Version 8.150, um diesem Sicherheitsproblem zu begegnen
CVE: 2006-5645
http://cve.mitre.org
[Original-Advisory:iDefense Security Advisory 12.08.06
http://labs.idefense.com/intelligence/vulnerabilities/
Dec 08, 2006]
saludos
gnarff
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 46481
Url: https://administrator.de/contentid/46481
Printed on: April 20, 2024 at 04:04 o'clock
