„Magic byte“-Schwachstelle

Unsere Gedanken zur „Magic byte“-Schwachstelle

In der letzten Zeit richten die Medien ihre Aufmerksamkeit auf die ‚Magic byte‘-Schwachstelle, die von Andrey Bayora aufgedeckt wurde.

In der Veröffentlichung über diese Sicherheitslücke wird festgestellt, dass die Mehrheit der Virenscanner unfähig ist, Malware zu erkennen, wenn der maliziösen Datei ein gefälschter Datei-Header voransteht.

Kurzum Malware, wie, zum Beispiel, .bat und .html, wird nicht erkannt, wenn der Datei, beispielsweise, ein MZ-Header voransteht. Die meisten Viren-Scanner scheinen anzunehmen, dass eine solche Datei eine gewöhnliche Ausführungs-Datei ist und erkennnen sie nicht länger als Malware.

Um dies zu umgehen, muss man einen redundanten Datei-Check durchführen: d.h. die gesamte Datei muss auf Datei-Header und Schadcode gescannt werden.

Insgesamt ist dies Grund für eine interessante Diskussion darüber, ob hier tatsächlich eine Sicherheitslücke vorliegt?

Da die gesamte Dateistruktur verändert wurde, ist es nicht mehr exakt dieselbe Datei. Das bedeutet, dass die maliziöse Datei eine technische Modifikation des alten Schadprogramms ist. Dies wiederum führt zu dem Schluss, dass wir es vom technischen Standpunkt aus nicht mit einer tatsächlichen Schwachstelle zu tun haben.

Natürlich können wir über diesen Standpunkt debattieren. Die Frage lautet: ist die Schwachstelle eine tatsächliche Bedrohung?

Ich denke, nein. Natürlich bleibt zu beobachten, wie diese Schwachstelle ausgenutzt wird. Wir sehen jeden Tag neugepackte Malware, und im Grossen und Granzen haben wir hier einen gleichartigen Fall.

Da die überwiegende Mehrheit der Schadprogramme heutzutage in binärer Form auftritt, wäre es viel kritischer, wenn wir keine Entschlüsselungs-Möglichkeiten für die meist verbreiteten Packer hätten.

Wahrend ich schreibe, arbeiten wir an einem Patch für die Sicherheitslücke. Man könnte aber auch sagen, dass wir nur einen Feature ergänzen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.