In dem Online-Virenscannerdienst Virustotal von Google kam eine alte Version von exiftool zum Einsatz, das Informationen aus Bilddateien extrahiert. IT-Sicherheitsforscher konnten durch eine darin enthaltene Sicherheitslücke mit manipulierten Bilddateien eigenen Code einschleusen und so Zugriff erlangen.

Virustotal ist ein Dienst, der Dateien entgegnimmt und diese an die eigenen Server mit rund 70 Virenscannern verteilt. Zudem führt Virustotal neben dem reinen Virenscan weitere Untersuchungen aus und extrahiert etwa Metadaten aus den Dateien. Das System nutzt für Bilddateien exiftool. In der veralteten Version, in der sich noch die Sicherheitslücke CVE-2021-22204 (CVSS 7.8, Risiko hoch) befindet, liefert der Aufruf des Werkzeugs mit sorgsam präparierten Bilddateien keine Metadaten zurück, sondern führt den darin eingebetteten Schadcode aus.

In den Tests der Sicherheitsforscher konnten sie auf mehr als 50 interne Hosts mit hohen Privilegien (als Nutzer root) zugreifen. Sie stießen dabei auf zahlreiche aktive Dienste wie http- und https-Anwendungen und -Dienste, mysql, Oracle-Datenbanken, Kubernetes oder SSH. Weiterhin konnten sie in Daten wie Kubernetes-Token und -Zertifikate, Dienste-Konfigurationen, Quellcodes, Log-Dateien und ähnliche einsehen.

Laut Bernardo Quintero, der Virustotal-Gründer, waren keine VT-Maschinen direkt betroffen. Stattdessen handele es sich um Dritthersteller- und Partner-Maschinen etwa bei Antivirus-Herstellern, welche die Daten von Virustotal für ihre Zwecke analysieren.

Die Sicherheitslücke im Virustotal-Dienst wurde von Google inzwischen geschlossen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE