Eine Schwachstelle in den Routinen zum Entpacken von Dateien im Microsoft Cabinet Format (CAB) der Antivirenprodukte von Sophos kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des entsprechenden Sophos-Prozesses auf dem beherbergenden System auszuführen, oder den Malwarescanner in einen unbenutzbaren Zustand zu versetzen. Neben den diversen Desktop-Produkten sind von dieser Schwachstelle auch die Gateway-Produkte zur Malwarefilterung auf Mailservern betroffen.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Nicht betroffene Systeme
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Gegenmaßnahmen
• Vulnerability ID

Zusammenfassung

Betroffene Systeme

• Sophos Virus Engine 2.82.0 und früher

• Sophos Anti-Virus für Windows vor 7.6.3
• Sophos Anti-Virus für Windows NT/9x vor 4.7.18.
• Sophos Anti-Virus für OS X vor 4.9.18
• Sophos Anti-Virus für Linux vor 6.4.5
• Sophos Anti-Virus für UNIX vor 7.0.5
• Sophos Anti-Virus für Unix und Netware vor 4.37.0

Nicht betroffene Systeme

• Sophos Anti-Virus für Windows 7.6.3
• Sophos Anti-Virus für Windows NT/9x 4.7.18.
• Sophos Anti-Virus für OS X 4.9.18
• Sophos Anti-Virus für Linux 6.4.5
• Sophos Anti-Virus für UNIX 7.0.5
• Sophos Anti-Virus für Unix und Netware 4.37.0

Einfallstor

• Speziell präpariertes CAB-Archiv, z.B. als Anhang einer E-Mail-Nachricht

Angriffsvoraussetzung

• Möglichkeit, ein entsprechendes CAB-Archiv an ein betroffenes System zu senden
  (network)
  Insbesondere in Situationen, in denen Sophos Anti-Virus zur Untersuchung eingehender E-Mail-Nachrichten eingesetzt wird, ist die Hürde praktisch nicht vorhanden, da der Angreifer lediglich in der Lage sein muss, E-Mail an einen Benutzer zu senden, dessen Nachrichten vom Zielsystem überprüft werden.

Angriffsvektorklasse

• über eine Netzwerkverbindung
  (remote)

Auswirkung

• Versetzen eines betroffenen Systems in einen unbenutzbaren Zustand
  (denial of service)
  Insbesondere bei zentralen Mailscannern kann dies je nach Konfiguration zu erheblichen Störungen im Mailbetrieb führen.
• Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des Sophos-Pozesses
  (user compromise))

Typ der Verwundbarkeit

• Pufferüberlaufschwachstelle
  (buffer overflow bug)

Gefahrenpotential

• hoch

Kontext

Das Microsoft Cabinet Format (CAB) ist ein spezielles Archiv-Format, das neben den einzelnen Dateien auch Pfadinformation speichert, um so auch einzelne Dateien aus dem Archiv entpacken zu können. Die Dateien werden meist mit dem Suffix .cab versehen und E-Mail-Nachrichten unter dem MIME-Type application/x-cab-compressed angehängt.

Beschreibung

Eine Schwachstelle in den Routinen zum Entpacken von CAB-Archiven der Antivirenprodukte von Sophos kann von einem Angreifer dazu ausgenutzt werden, den Malwarescanner in einen unbenutzbaren Zustand zu versetzen oder beliebigen Programmcode mit den Privilegien des entsprechenden Sophos-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Neben den Desktop-Produkten sind von dieser Schwachstelle auch die diversen Gateway-Produkte zur Malwarefilterung auf Mailservern betroffen. Zur Ausnutzung der Schwachstelle ist es ausreichend eine entsprechend präparierte CAB-Datei z.B. als Anhang an einer E-Mail-Nachricht an ein System zu schicken, das diese mittels einer der verwundbaren Sophos-Versionen auf Malware untersucht.

Sofern Sophos mit administrativen Privilegien betrieben wird, führt die Ausnutzung der Schwachstelle zur Ausführung beliebigen Programmcodes zur Kompromittierung des beherbergenden Systems.

Die Ausnutzung der Schwachstelle zum Versetzen des Malwarescanners in einen unbenutzbaren Zustand kann zu erheblichen Störungen im Mailbetrieb führen, da normalerweise Nachrichten erst dann ausgeliefert werden, wenn ihre Überprüfung abgeschlossen ist. Wenn der Sophos-Daemon in einen unbenutzbaren Zustand gerät, stockt die Nachrichtenauslieferung, im schlimmsten Fall für alle Benutzer. Wenn in einem solchen Fall der Malwarescanner abgeschaltet wird, erhöht sich die Gefährdung der Mailempfänger, die durch das betroffene System versorgt werden mittelbar signifikant, da sie keinen Schutz vor Malware mehr genießen.

Die Ausnutzung der Schwachstelle in dieser Form besitzt unmittelbar ein eher mittleres Gefahrenpotential besitzt, denn unmittelbar ist nur das Schutzziel der Verfügbarkeit bedroht. Durch den eventuellen Wegfall des durch das betroffenen Systems bereitgestellten sicherheitsrelevanten Dienstes kann sie mittelbar jedoch ein sehr viel höheres Gefahrenpotential für die durch den Malwarescanner geschützten Systeme entwickeln, insbesondere dann, wenn der Dienst zur Wiederherstellung der Betriebsfähigkeit der Mailzustellung abgeschaltet wird.

Gegenmaßnahmen

• Sophos Anti-Virus für Windows 7.6.3
• Sophos Anti-Virus für Windows NT/9x 4.7.18.
• Sophos Anti-Virus für OS X 4.9.18
• Sophos Anti-Virus für Linux 6.4.5
• Sophos Anti-Virus für UNIX 7.0.5
• Sophos Anti-Virus für Unix und Netware 4.37.0

Vulnerability ID

• CVE-2008-1372

Weitere Information zu diesem Thema

• CERT-FI and CPNI Joint Vulnerability Advisory on Archive Formats

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/