Sicherheitsforscher haben eine Sicherheitslücke aufgedeckt, die es Angreifern ermöglichen könnte, die VirusTotal-Plattform als Waffe zu nutzen, um Remote Code Execution (RCE) auf ungepatchten Sandbox-Rechnern von Drittanbietern zu erreichen, die Antiviren-Engines einsetzen.
Die inzwischen gepatchte Sicherheitslücke ermöglichte es Angreifern, „Befehle aus der Ferne auf der VirusTotal-Plattform auszuführen und Zugriff auf die verschiedenen Scan-Funktionen zu erhalten“, so die Cysource-Forscher Shai Alfasi und Marlon Fabiano da Silva in einem Bericht, der The Hacker News exklusiv vorliegt.
VirusTotal, Teil von Googles Sicherheitstochter Chronicle, ist ein Dienst zum Scannen von Malware, der verdächtige Dateien und URLs analysiert und mit Hilfe von mehr als 70 Antivirenprodukten von Drittanbietern auf Viren prüft.
Die Angriffsmethode bestand darin, eine DjVu-Datei über die Web-Benutzeroberfläche der Plattform hochzuladen, die, wenn sie an mehrere Malware-Scan-Engines von Drittanbietern weitergeleitet wurde, eine Schwachstelle in ExifTool, einem Open-Source-Dienstprogramm zum Lesen und Bearbeiten von EXIF-Metadaten in Bild- und PDF-Dateien, ausnutzen konnte, die eine hochgradig gefährliche Remotecodeausführung ermöglicht.
Die als CVE-2021-22204 (CVSS-Score: 7.8) bezeichnete Sicherheitslücke ermöglicht die Ausführung von beliebigem Code, weil ExifTool DjVu-Dateien falsch verarbeitet. Das Problem wurde von den Entwicklern in einem Sicherheitsupdate vom 13. April 2021 behoben.
Die Forscher stellten fest, dass eine solche Ausnutzung eine Reverse Shell auf betroffenen Rechnern ermöglicht, die mit einigen Antivirenprogrammen verbunden sind, die noch nicht für die Sicherheitslücke der Remotecodeausführung gepatcht worden sind.
Bernardo Quintero, der Gründer von VirusTotal, bestätigte in einer Erklärung gegenüber The Hacker News, dass dies das beabsichtigte Verhalten ist und dass die Codeausführungen nicht in der Plattform selbst, sondern in den Scan-Systemen von Drittanbietern liegen, die die Proben analysieren und ausführen. Das Unternehmen erklärte außerdem, dass es eine Version von ExifTool verwendet, die nicht für die Schwachstelle anfällig ist.
Cysource meldete den Fehler am 30. April 2021 im Rahmen des Vulnerability Reward Programs (VRP) von Google, woraufhin die Sicherheitslücke umgehend behoben wurde.
Es ist nicht das erste Mal, dass die ExifTool-Schwachstelle als Mittel zur Remotecodeausführung auftaucht. Letztes Jahr hat GitLab eine kritische Schwachstelle (CVE-2021-22205, CVSS-Score: 10.0) behoben, die mit einer unsachgemäßen Validierung der vom Benutzer bereitgestellten Bilder zusammenhing und zur Ausführung von beliebigem Code führte.
Update: Der Artikel wurde auf der Grundlage einer Stellungnahme von VirusTotal überarbeitet, um die Art des Angriffs zu klären.