Google betreibt seit vielen Jahren die Antivirus-Plattform VirusTotal, die wir euch hier im Blog bereits ausführlich für Windows, Android und das Web vorgestellt haben. Dabei handelt es sich um eine starke Erkennung von Viren und Malware, doch nun ist ausgerechnet die Infrastruktur dieses Dienstes Opfer einer Sicherheitslücke geworden. Angreifer hatten die Möglichkeit, durch modifizierte Bilder beliebigen Code auszuführen.
VirusTotal wird von Google überhaupt nicht beworben, wird aber dennoch vom Unternehmen mit einer starken Infrastruktur betrieben. Naturgemäß wird die Plattform mit Viren und Malware nur so überschwemmt, was sie normalerweise durch Dutzende externe Scanner erkennen und abfangen kann. Doch kürzlich würde eine Lücke in einer Exif-Bibliothek entdeckt, die Metadaten aus Bildern auslesen kann. Diese Schwachstelle bestand auch bei VirusTotal und gab Angreifern die Möglichkeit, beliebigen Code auf den von Google genutzten Servern auszuführen. Auf mehr als 50 Hosts mit diversen Diensten und Datenbanken sollen Angreifer Zugriff gehabt haben.
I'm reading a blog post about a remote code execution within VirusTotal where I can not identify any VT machine. Some people confuse 3rd party machines with VT machines, it's not a new thing. Many partners and 3rd parties download and process VT feed to do their stuff.
— Bernardo Quintero (@bquintero) April 25, 2022
Die Lücke wurde mittlerweile geschlossen und VirusTotal teilte mit, dass der Angriff nur auf vom Dienst verwendeten Servern stattgefunden hat, die aber nicht VirusTotal oder Google gehören. Es kam also eine externe Prüfung zum Einsatz, sodass die Infrastruktur der Plattform selbst nicht gefährdet war.
[heise]