Nieuws
image

Back-upsoftware Acronis True Image bevat beveiligingslek

maandag 19 juni 2017, 16:58 door Redactie, 10 reacties

De populaire back-upsoftware Acronis True Image bevat een beveiligingslek waardoor gebruikers met malware besmet kunnen raken en een update is nog niet beschikbaar. De back-upsoftware, die er voor Mac en Windows is, controleert en downloadt updates op onveilige wijze, waardoor een aanvaller in het ergste geval willekeurige code met beheerdersrechten kan uitvoeren.

De software blijkt updates via het onbeveiligde http uit te voeren. Daarnaast worden updates, op de door de server aangeboden md5-hash na, niet gecontroleerd. Een aanvaller die zich op hetzelfde netwerk als een gebruiker bevindt of het netwerkverkeer van een gebruiker kan beïnvloeden, kan via de updatefunctie willekeurige code met beheerdersrechten uitvoeren, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Een update is nog niet beschikbaar, alsmede een praktische oplossing. Dit weekend waarschuwde het CERT/CC ook voor een beveiligingslek in de updatefunctie van de Samsung Magician-software.

Reacties (10)
19-06-2017, 20:15 door SecGuru_OTX
Tja, dit is helaas nog steeds bij meerdere producten aan de hand. Er zijn zelfs nog een paar marktleiders op het gebied van beveiligingssoftware waarbij de updates via http verlopen.

Erg jammer en heel slecht.

En blijkbaar blijven ze de producten gewoon verkopen omdat er maar weinig klanten duidelijke requirements opstellen en/of controleren.
19-06-2017, 21:21 door karma4
Door SecGuru_OTX: Tja, dit is helaas nog steeds bij meerdere producten aan de hand. Er zijn zelfs nog een paar marktleiders op het gebied van beveiligingssoftware waarbij de updates via http verlopen.

Erg jammer en heel slecht.

En blijkbaar blijven ze de producten gewoon verkopen omdat er maar weinig klanten duidelijke requirements opstellen en/of controleren.
Klopt
De thuisgebruiker kan geen requirements opstellen. Op zijn best komen er keurmerk voor.
Bij bedrijven vertrouwt men d dd leverancier of het nu fout zit of niet maakt niet uit. Het ncsc draagt uit dat je de instructies van dd leverancier moet volgen.
19-06-2017, 22:15 door SecGuru_OTX
Mbt beveiligingssoftware zou je verwachten dat AV test, NSS Labs, Gartner, etc, de producten zonder versleuteling direct een onvoldoende geven, helaas is dit ook niet het geval.

Zorg altijd dat je zelf voldoende kennis hebt, en test de afgenomen producten.

Indien je aan outsourcing doet: weet wat je koopt en controleer dit.
20-06-2017, 00:27 door Anoniem
Of een digitale handtekening o.i.d. meesturen waar de updatedata mee geverifieerd kan worden.
Werkt ClamAV niet op een dergelijke manier? En MBAM?
20-06-2017, 02:25 door Anoniem
Dit zie je inderdaad nog met regelmaat. Incl. software aanbieden zonder hash dus je kunt het nooit valideren. Altijd fijn voor gevoelige applicaties zoals bv SCADA.

Een ander euvel is DLL planting/hijacking waardoor je eenvoudig admin of system rechten kunt verkrijgen. Dan even je tooltjes excluden in de virusscanner en je zit voor altijd op het systeem.
20-06-2017, 09:19 door spatieman
dat ding moet je ook niet op een computer installeren maar gewoon vanuit de image opstarten via een bootable usb stick.
20-06-2017, 10:03 door Anoniem
Of de connectie nou via http of https verloopt maakt niet zo veel uit, als die https connectie alleen gevalideerd wordt
met het normale mechanisme (dus geen extra checks op het certificaat).
Wat men echt zou moeten doen is de code signen en na download checken alvorens deze geinstalleerd wordt.
Dan bestrijk je de hele keten en maak je je niet afhankelijk van wat voor certificaten er op de client computer staan en
hoe betrouwbaar de certificaatuitgevers vandaag zijn.
Hetzelfde geldt voor updates van firmware op devices. Er zijn vaak meerdere mechanismen (device zelf een update laten
downloaden, updated firmware uploaden, netwerk boot met bootp/tftp enz) en die signing van de code lost het
allemaal in een keer op.
20-06-2017, 13:38 door Hyper
Hm, dit kan me weinig boeien. Het handige aan dit programma is juist om een Boot-CD te maken en van daar op te starten zodat je onbeperkte toegang hebt tot je partities zonder dat er bestanden in gebruik zijn.
22-06-2017, 11:08 door Anoniem
Hello Everyone,
Our Acronis-team noticed your postings on the Acronis True Image vulnerability issue. We would like to provide a brief statement from our side.
Acronis is aware of a minor security issue related to Acronis True Image 2017 (Build 8053 and earlier) that was reported by our colleagues at CERT Coordination Center (CERT/CC) at Carnegie Mellon University's Software Engineering Institute.
We immediately fixed the vulnerability, prepared a patch for our newest update, and are currently notifying users of the issue.
While the threat to users is considered low-risk since multiple, rare occurrences would need to happen in order for someone to exploit the vulnerability, we are urging all Acronis True Image 2017 customers to apply the patch by opening the application and selecting “Check for Updates.”
Acronis takes data protection very seriously, which is why we have acted so quickly to respond to this threat. We will examine this incident further to ensure no similar vulnerabilities remain in our products.
If you have any feedback or questions, feel free to reach out to us. Unfortunately, we do not have a local Dutch speaker; therefore, we would prefer to communicate in English.
Thank you.
Your Acronis-Team
27-06-2017, 09:00 door Anoniem
Door Anoniem: Hello Everyone,
Our Acronis-team noticed your postings on the Acronis True Image vulnerability issue. We would like to provide a brief statement from our side.
Acronis is aware of a minor security issue related to Acronis True Image 2017 (Build 8053 and earlier) that was reported by our colleagues at CERT Coordination Center (CERT/CC) at Carnegie Mellon University's Software Engineering Institute.
We immediately fixed the vulnerability, prepared a patch for our newest update, and are currently notifying users of the issue.
While the threat to users is considered low-risk since multiple, rare occurrences would need to happen in order for someone to exploit the vulnerability, we are urging all Acronis True Image 2017 customers to apply the patch by opening the application and selecting “Check for Updates.”
Acronis takes data protection very seriously, which is why we have acted so quickly to respond to this threat. We will examine this incident further to ensure no similar vulnerabilities remain in our products.
If you have any feedback or questions, feel free to reach out to us. Unfortunately, we do not have a local Dutch speaker; therefore, we would prefer to communicate in English.
Thank you.
Your Acronis-Team
Thanks for the great service and the response on this site.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search