Aufgrund einer Schwachstelle der sogenannten Safepay-Komponente der Antivirus-Software Bitdefender Internet Security (für Windows) können Angreifer in den Computer eindringen und Malware / Schadcode ausführen. Eine aktuelle Version, in welcher die Sicherheitslücke geschlossen wurde, steht zum Download bereit.
Safepay soll dafür sorgen, dass Internetbanking in einer gesicherten Umgebung abläuft – eine Art Sandboxing. Dafür prüft die Komponente in einer Man-in-the-Middle-Position SSL-/TLS-Zertifikate von Banking-Webseiten und nutzt Sicherheitsmechanismen gegen sog. Keylogger, mit denen Angreifer u. a. Passwort-Eingaben aufzeichnen. Safepay ersetzt bei der HTTPS-Untersuchung die interne Zertifikatsprüfung von Webbrowsern wie Chrome, Firefox & Co.
SSL / TLS-Überwachung
Eine Sicherheitslücke (CVE-2020-8102) in Safepay gefährdet die Computer. In einer Warnmeldung hat Bitdefender das Angriffsrisiko als „hoch“ eingestuft. Beim Aufruf von durch Safepay überprüften per HTTPS gesciherten Webseiten kommt es zu einem Fehler – Angreifer könnten daraufhin bestimmte Sicherheitsschlüssel auslesen. Opfer könnten auf präparierte Webseiten gelockt werden und Hacker könnten eigene Befehle auf diesen nun verwundbaren Computern ausführen.
In einem ausführlichen Beitrag beschreibt der Sicherheitsforscher Wladimir Palant, wie solch ein Angriff im Detail ablaufen könnte. Er ist der Entwickler des bekannten Werbeblockers Adblock Plus.
Das Angriffsszenario macht deutlich, dass AV-Hersteller das Aufbrechen von gesicherten HTTPS-Verbindungen besser lassen sollten. Eine 2017 veröffentlichte Studie zeigt, dass solche Eingriffe immer wieder Sicherheitsprobleme verursachen.
Im Firewall-Umfeld sind solche Techniken (SSL Decryption) üblich um verschlüsselten Traffic überhaupt auf Bedrohungen scannen zu können. Dies passiert dort aber innerhalb der Appliances und nicht wie hier auf einem Windows-PC.
Sicherheitsupdate ab sofort verfügbar
Ab sofort liefert Bitdefender die abgesicherte Version 24.0.20.116 über die automatische Updatefunktion aus. Den Entwicklern zufolge sind alle vorigen Ausgaben angreifbar.
