zurück zur Übersicht

CarbonBlack und sein „Security Flaw“ – Vorsicht beim Gefährdungsbericht

Mittwoch, der 09.08.2017: Ein Gefährdungsbericht von einem renommierten IT Security Services & Solutions Anbieter beschreibt eine angebliche Sicherheitslücke beim Next-Gen Antivirus Hersteller CarbonBlack. Die Behauptung: Es existiere ein großes Data Leakage (Datenleck) beim Hersteller, aufgrund eines Fehlers in der Architektur von CarbonBlack Response (dem EDR-Tool von CarbonBlack). Eine Funktion des Tools, das Hochladen von Dateien zu einem cloud-based Multiscanner, ermögliche es Angreifern sensible Kundendaten und Passwörter zu stehlen. Die Rede ist von erfolgreichem Datenklau von Cloud Keys (für AWS, Azure, etc.), internen Benutzernamen und Passwörtern sowie internen Applikationen von Kunden des Herstellers CarbonBlack. Mehrere selbst durchgeführte Vulnerability Assessments (Verwundbarkeitsbewertungen) hätten dies aufgedeckt.

Gefahr bei der Nutzung von Multiscannern?

Der Bericht warnt daher vor einer Sicherheitslücke, die bei Nutzung des Multiscanners (VirusTotal) auftrete:
Wenn zum Beispiel Dateien hochgeladen werden, die sensible Daten enthalten können, kann ein anderes Mitglied von VirusTotal die Originaldatei herunterladen und somit evtl. auf die sensiblen Daten oder Passwörter stoßen. Die Bedrohung oder Verwundbarkeit geht also aus der Nutzung von externen Diensten hervor, die die Originaldatei Dritten zur Verfügung stellen können.

Andere Hersteller haben darauf prompt reagiert und eigene Pressemitteilungen veröffentlicht, in der der „Customer Security“ höchste Priorität zugeschrieben wird und versichert wird, dass Daten, egal in welcher Form, nicht an Drittanbieter weitergeleitet werden.

Die Problematik des Artikels ist, dass der Autor von einem „Architekturproblem“ oder „-fehler“ von CB Response spricht. Dies ist so jedoch nicht richtig. Das Hochladen von Dateien auf eine Multiscannerdatenbank kann in bestimmten Fällen sinnvoll sein und hat nichts mit der Architektur des Herstellers zu tun. Der Autor erwähnt auch nicht, dass das Hochladen von Dateien bei CB Response standardmäßig ausgeschaltet ist und ein Kunde die Funktion zunächst aktiv einschalten muss. Zusätzlich wird im Artikel nicht erwähnt, dass bei Freischaltung der Funktion mehrere Warnhinweise integriert sind, die vor einem Datendiebstahl beim Hochladen von Dateien warnen.

Außerdem ist VirusTotal eine von der IT-Security Industrie renommierte Multiscannerdatenbank, um Dateien von mehreren Antivirenprogrammen überprüfen zu lassen. Oder in anderen Worten ausgedrückt: Kaum ein Hersteller kann es sich erlauben, Dateien nicht auf VirusTotal hochzuladen und auf die Reputation der Datenbank zu verzichten. Dass Kundendaten vom Hersteller CarbonBlack aufgedeckt wurden, mag eher einem Zufall als einem Fehler zuzuordnen sein.

Jagd nach Publicity vs. kontrollierte Veröffentlichung von Schwachstellen

Leider ist diese Art von Öffentlichkeitsarbeit keine Seltenheit. Dies wird auch dadurch bestätigt, dass der Veröffentlicher zugeben musste, den Hersteller CarbonBlack nicht vorab über die „Verwundbarkeit“ alarmiert zu haben. Unser Rat zu „Gefährdungsberichten“ ist deshalb:

  • Überprüfen Sie die Glaubwürdigkeit des Veröffentlichers und
  • Leiten Sie daraus ab, ob eine mögliche Gefährdung für Sie zutreffen kann

Was Sie bei der Nutzung von Multiscannern beachten sollten

Bei der Nutzung von Multiscannerdatenbanken sollten Sie folgende Punkte beachten:

  • Verifizieren Sie die Notwendigkeit des Hochladens
  • Stellen Sie sicher, dass keine sensiblen Daten (Passwörter, Kundendaten) in den Dateien enthalten sind
  • Laden Sie nicht unkontrolliert alle Dateien hoch
  • Lesen Sie die Produktdokumentation bevor Sie Optionen zur Integration von Cloud-Diensten in AV-Produkten aktivieren

Schreibe einen Kommentar