VeraCrypt entledigt sich alter Sicherheitslücken

Posted on Posted in Hacker News

Ein Sicherheitsforscher hat Schwachstellen im schon seit mehr als einem Jahr nicht mehr weiterentwickelten Verschlüsselungsprogramm TrueCrypt entdeckt. Das kommt dem Nachfolger VeraCrypt zugute.

Die Entwickler von VeraCrypt haben zwei Schwachstellen geschlossen, über die Angreifer sich höhere Benutzerrechte erschleichen können. Die abgedichtete Version 1.15 steht seit vergangenen Samstag zum Download bereit.

Der Sicherheitsforscher James Forshaw von Googles Project Zero hat die Lücken aber nicht direkt in VeraCrypt gefunden, sondern im Vorgänger TrueCrypt. Das Verschlüsselungsprogramm wird seit Mai vergangenen Jahres nicht mehr weiterentwickelt; Sicherheitsforscher können aber anscheinend nicht die Finger von der vor allem bei Windows-Nutzern beliebten Anwendung lassen.

Davon profitiert jetzt VeraCrypt, denn das ist ein Fork von TrueCrypt und hat die Schwachstellen vererbt bekommen. In beiden Fällen könnten Angreifer die Lücke ausnutzen, um sich auf einem System mehr Rechte zu verschaffen. Im schlimmsten Fall hätten sie dann Admin-Rechte und könnten den Computer kontrollieren.

Computer übernehmen, Laufwerke aushängen

Bei der von den VeraCrypt-Entwicklern als kritisch eingestuften Lücke (CVE-2015-7358) kann ein Angreifer die Zuweisung des Laufwerkbuchstabens als Einfallstor missbrauchen. Das kann dem VeraCrypt-Verantwortlichen Mounir Idrassi jeder Prozess ausnutzen. Für einen erfolgreichen Übergriff muss sich der Angreifer noch nicht einmal lokalen Zugriff zum Computer haben, denn Idrassi zufolge könnte eine Malware an der Schwachstelle ansetzen und einen Fernzugriff für einen Angreifer einrichten.

Über die zweite Lücke (CVE-2015-7359) könne ein Angreifer gemountete Volumes aushängen und deren Eigenschaften auslesen. Forshaw zufolge waren beide Lücken gut im Programmcode versteckt, wurden aber nicht mit Absicht eingefügt; dem pflichtet Idrassi bei. In der Vergangenheit wurde TrueCrypt verdächtigt, eine Hintertür im Programmcode zu verstecken.

Quelle: heise.de

Facebooktwittergoogle_plus