Symantecs Norton SystemWorks versteckt ein Rootkit

EnterpriseSicherheit

Die Schwachstelle in dem Produkt Norton SystemWorks gibt Angreifern die Möglichkeit, verseuchte Daten auf dem Computer abzulegen.

Symantec hat sich mit einem versteckten Rootkit eine eigene Schwachstelle in dem Produkt Norton SystemWorks geschaffen, die Angreifern die Möglichkeit gibt, verseuchte Daten auf dem Computer abzulegen. Der Hersteller spielt die Gefahr zwar herunter, trotzdem rät er in einem Advisory dringend dazu, das verfügbare Update aufzuspielen.

In der Erklärung zum Problem heißt es, Norton SystemWorks beinhalte ein Feature namens ‘Norton Protected Recycle Bin’, das im ‘Microsoft Windows Recycler’-Verzeichnis integriert sei. Das Norton Protected Recycle Bin wiederum enthalte ein weiteres Directory, ‘NProtect’, das vor Windows-APIs versteckt werde. Dateien in diesem Verzeichnis könnten möglicherweise von Antivirus-Lösungen nicht auf Malware gescannt werden, so dass Hacker dort gegebenenfalls verseuchten Code ablegen könnten.

Das Verzeichnis zu verheimlichen sei bei seiner Einführung beabsichtigt gewesen, heißt es, um zu verhindern, dass User nicht versehentlich dort gespeicherte Daten löschten. Die aktuelle Entwicklung, mit der Hacker ihre Arbeit verrichteten, habe Symantec nun gezwungen, die Existenz des versteckten Verzeichnisses zu überdenken.

Überdenken hin oder her. Wieder hat ein renommiertes Unternehmen eine Funktion in sein Produkt eingebaut, die ohne Wissen der Anwender agiert. Da muss sich der Hersteller den Vergleich mit Sony/BMG gefallen lassen. Das Unternehmen hatte Ende vergangenen Jahres ebenfalls ein Rootkit – also ein Tool, das auf dem PC installiert wird und den Fremdzugriff erlaubt – untergebracht mit der Begründung, den Kopierschutz verbessern zu wollen. Nachdem Hacker aber einen Trojaner mit Hilfe des Features eingeschleust hatten, flog die Sache auf, Sony musste die Rootkit-CDs vom Markt nehmen und die Verbraucher entschädigen.
 
Gefunden haben das Tool Mark Russinovich, Betreiber der Webseite Sysinternals und der finnische Security-Anbieter F-Secure mit der BlackLight Rootkit Elimination Technologie. Russinovich hatte bereits das Sony-Rootkit entdeckt und kämpft seither gegen jede Art von versteckten Features, weil es immer häufiger passiere, dass Hersteller solche Tools einschleusten, wird er in US-Medien zitiert. Selbst bei zunächst gut gemeinten Techniken verliere der Anwender die volle Kontrolle über den Rechner, und das sei gar nicht gut.