Im EnCase Forensic Imager klafft offenbar eine Schwachstelle, die fatale Folgen haben kann: Liest man mit dem Forenstiktool einen manipulierten Datenträger ein, wird der darauf gespeicherte Schadcode mit erhöhten Rechten ausgeführt.

In dem verbreiteten Forensik-Tool EnCase Forensic Imager soll eine kritische Sicherheitslücke klaffen, durch die ein Angreifer das Analysesystem kompromittieren kann. Das kann fatale Folgen haben, da das Programm unter anderem von Ermittlungsbehörden eingesetzt wird, um die digitalen Spuren von Tatverdächtigen sicherzustellen. Ein Angreifer kann also potenziell auf brisante Daten aus laufenden Ermittlungen zugreifen und Beweismaterial manipulieren. Ist das Analysesystem mit einem Netzwerk verbunden, kann sich der Angreifer auch hier umsehen. Entdeckt hat die Lücke der Security-Forscher Wolfgang Ettlinger. Er hat im Auftrag des Unternehmens SEC Consult gearbeitet.

Demonstratition der Schwachstelle im EnCase Forensic Imager

Der EnCase Forensic Imager erstellt Abbilder von Laufwerken, die man mit einem Auswertungsprogramm unter die Lupe nehmen kann. Das EnCase-Tool stolpert beim Einlesen der Laufwerke laut SEC Consult über manipulierte LVM2-Partitionen. Dabei soll es zu einem Stack Overflow kommen, den ein Angreifer zum Einschleusen von Code missbrauchen kann. Ein Angreifer würde seinem Opfer in spe etwa einen manipulierten USB-Stick unterjubeln. Versucht das Opfer den Stick mit der EnCase-Software einzulesen, wird der Schadcode des Angreifers ausgeführt. Da das Tool mit erhöhten Rechten läuft, genießt auch der Angriffscode alle daraus resultierenden Freiheiten.

SEC Consult hat den EnCase-Hersteller Guidance Software erstmals am 3. März über das Sicherheitsproblem informiert. Seitdem ist anscheinend nicht viel passiert: Der Hersteller reagierte den Angaben im Advisory zufolge nur spärlich auf die Kontaktversuche und erklärte am heutigen Donnerstag schließlich, dass es sich “bei den Exploit, den SEC Consult behauptet gefunden zu haben”, um einen “extremen Sonderfall” handelt. Der Hersteller hält das Szenario nicht für bedenklich, da der Umgang mit rohen Daten immer ein Risiko berge. Daher empfiehlt er den Nutzern, das Analysesystem isoliert zu betreiben. (rei)

Deutsche Blog – Nachrichten weitere Schlagzeilen