Kritische Sicherheitslücken in Symantec/Norton Antivirus und Sicherheits-Produkten - Patches verfügbar

29. Juni 2016

Beschreibung

Der Sicherheitsforscher Tavis Ormandy (Google Project Zero) und Symantec haben bekannt gegeben, dass es in vielen Symantec/Norton Produkten teils gravierende Sicherheitslücken gibt:

CVE-Nummern: CVE-2016-2208 (laut Tavis Ormandy), sowie CVE-2016-2207, CVE-2016-2209, CVE-2016-2210, CVE-2016-2211, CVE-2016-3644, CVE-2016-3645, CVE-2016 -3646 (laut Symantec)

CVSS2 Base Scores (laut Symantec): bis 9.0

Auswirkungen

Durch Ausnützen mancher dieser Lücken kann ein Angreifer die Kontrolle über betroffene Systeme übernehmen. Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Besonders kritisch ist hierbei, dass der Code, in welchem sich zumindest eine dieser Lücken befindet, in manchen Fällen im Kernel-Mode ausgeführt wird, was bedeutet, dass dieser uneingeschränkte Rechte hat.

Aufgrund der Natur dieser Schwachstellen ist es unter Umständen nicht einmal notwendig, potentiellen Schadcode aktiv auszuführen: Es reicht schon, eine entsprechend präparierte Datei an oder durch ein betroffenes System zu senden (etwa per Email). User-Interaktion ist in solchen Fällen nicht nötig.

Betroffene Systeme

Systeme, auf denen folgende Software von Symantec / Norton installiert ist:
  • Laut Tavis Ormandy:
    • Norton Security, Norton 360, and other legacy Norton products (All Platforms)
    • Symantec Endpoint Protection (All Versions, All Platforms)
    • Symantec Email Security (All Platforms)
    • Symantec Protection Engine (All Platforms)
    • Norton Antivirus (Mac, Windows)
    • Symantec Endpoint (Mac, Windows, Linux, UNIX)
    • Symantec Scan Engine (All Platforms)
    • Symantec Cloud/NAS Protection Engine (All Platforms)
    • Symantec Protection for SharePoint/Exchange/Notes/etc (All Platforms)
    • All other Symantec/Norton Carrier, Enterprise, SMB, Home, etc antivirus products
  • Laut Symantec:
    • Advanced Threat Protection (ATP)
    • Symantec Data Center Server (SDCS:SA), 6.6 MP1 und 6.5 MP1
    • Symantec Critical System Protection (SCSP), 5.2.9 MP6
    • Symantec Embedded Systems Critical System Protection (SES:CSP), 1.0 MP5 und 6.5.0 MP1
    • Symantec Web Security .Cloud
    • Email Security Server .Cloud (ESS)
    • Symantec Web Gateway
    • Symantec Endpoint Protection (SEP), 12.1.6 MP4 und älter
    • Symantec Endpoint Protection for Mac (SEP for Mac), 12.1.6 MP4 und älter
    • Symantec Endpoint Protection for Linux (SEP for Linux), 12.1.6 MP4 und älter
    • Symantec Protection Engine (SPE), 7.0.5 und äter, 7.5.4 und älter, 7.8.0
    • Symantec Protection for SharePoint Servers (SPSS), 6.06 und älter
    • Symantec Mail Security for Microsoft Exchange (SMSMSE), 7.0.4 und älter, 7.5.4 und älter
    • Symantec Mail Security for Domino (SMSDOM), 8.0.9 und älter, 8.1.3 und älter
    • CSAPI, 10.0.4 und älter
    • Symantec Message Gateway (SMG), 10.6.1-3 und älter
    • Symantec Message Gateway for Service Providers (SMG-SP), 10.5 und 10.6
    • Norton Product Family, Norton AntiVirus, Norton Security, Norton Security with Backup, Norton Internet Security, Norton 360 - jeweils vor NGC 22.7
    • Norton Security for Mac, alle Versionen vor 13.0.2
    • Norton Power Eraser (NPE), alle Versionen vor 5.1
    • Norton Bootable Removal Tool (NBRT), alle Versionen vor 2016.1

    Symantec bietet auf der unten angeführten Seite auch Hilfestellung zum Herausfinden der jeweiligen Versionen und Anweisungen, wie die jeweiligen Updates zu erhalten/einzupflegen sind.

    Abhilfe

    Update auf die zur Verfügung gestellten aktualisierten Versionen.

    Laut Symantec verfügen viele der betroffenen Produkte über eine "LiveUpdate"-Funktion, die das Update bereits automatisiert eingespielt haben sollte. Wir empfehlen dringend, nachzuprüfen ob dies auch wie vorgesehen funktioniert hat.

    Hinweis

    Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
    Informationsquelle(n):

    Symantec Security Advisory (englisch)
    https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20160628_00
    Tavis Ormandy (Google Project Zero) (englisch)
    https://googleprojectzero.blogspot.co.at/2016/06/how-to-compromise-enterprise-endpoint.html