Google-Experte deckt Details zu Sicherheitslücken in Kaspersky-Software auf

SicherheitSicherheitsmanagement
Security (Bild: Shutterstock/voyager624)

Tavis Ormandy konnte Version 15 und 16 von Kaspersky Antivirus beim Scan-Vorgang einen Exploit unterschieben. Er machte sich dabei zunutze, dass Module für das Entpacken, Emulatoren und Parser mit Systemrechten ausgeführt wurden. Kaspersky hat das Problem inzwischen behoben.

Sicherheitsforscher Tavis Ormandy von Googles Project Zero hat jetzt Einzelheiten zu mehreren ernsthaften Lücken in Antivirussoftware von Kaspersky veröffentlicht. Sie steckten in Version 15 und 16 von Kaspersky Antivirus. Erste Hinweise darauf hat er bereits Anfang des Monats gegeben. Die Lücken wurden zum Teil bereits am 13., weitere am 15 September durch Aktualisierungen der Produkte geschlossen.

Auf Anfrage von ITespresso teilte Kaspersky mit, dass keine Fälle bekannt sind, in denen die Lücken außerhalb des Google-Labors ausgenutzt wurden. Außerdem werde man weitere Maßnahmen ergreifen, um den jeder Software innewohnenden Unzulänglichkeiten künftig besser zu begegnen. Dafür nutze man bereits jetzt Address Space Layout Randomization (ASLR) sowie Data Execution Prevention (DEP) und plane, den Einsatz dieser Methoden noch auszubauen.

Der bei Google beschäftigte Sicherheitsforscher Tavis Ormandy hat jetzt Details zu der Anfang des Monats publizierten und inzwischen geschlossenen Zero-Day-Lücke in Antivirensoftware von Kaspersky veröffentlicht (Screenshot: Tavis Ormandy).
Der bei Google beschäftigte Sicherheitsforscher Tavis Ormandy hat jetzt Details zu der Anfang des Monats publizierten und inzwischen geschlossenen Zero-Day-Lücke in Antivirensoftware von Kaspersky veröffentlicht (Screenshot: Tavis Ormandy).

Dem Bericht von Ormandy zufolge, den Kaspersky weitgehend bestätigt hat, hätte sich ein Angreifer dadurch Systemrechte verschaffen können, indem er der Scan-Software speziell präparierte und in den Formaten DEX, VB6, CHM, ExeCryptor, PE oder Yoda’s Protector gepackte Dateien zur Untersuchung vorlegte. So ließen sich Integer-Überläufe und ein Buffer Overflow auslösen. Um letzteres beim Entpacken von Dateien künftig zu verhindern, hat Kaspersky bereits einen Schutzmechanismus integriert. Dem Hersteller zufolge sei das Problem binnen 24 Stunden nach Bekanntwerden behoben worden, Ormandy macht keien Zeitangabe, lobt aber ausdrücklich die schnelle Reaktion des Anbieters.

AV-Comparatives Logo (Grafik: AV-Comparatives)

Gegenüber ITespresso erklärte Peter Stelzhammer vom Innsbrucker Prüflabor AV-Comparatives, das Problem sei im aktuellen Fall zwar Kaspersky-spezifisch, eigentlich könne es aber bei jeden Hersteller von Antivirensoftware auftreten, der dieselbe Technologie verwendet. “Auch Hersteller, die Sandboxen oder Emulatoren verwenden, kann es treffen, sofern diese Features unsicher implementieren”, so Stelzhammer weiter. Exploits könnten für jede Software geschrieben werden, ob es geschehe, sei nur eine Frage des Aufwands.

Stelzhammer weiter: “Im Allgemein kann man aber sagen, dass die AV-Hersteller sehr gute Arbeit zum Selbstschutz ihrer Programme leisten beziehungsweise im Normalfall schnell reagieren. Ein anderes Beispiel wäre der Fireeye-Hack, bei dem der Fix allerdings sehr lange dauerte, hier kann man vermutlich nicht mehr von einem professionellen Vorgehen sprechen.”

Auch Andreas Marx vom Magdeburger Labor AV-Test will zu den gerade erst bekannt gewordenen, spezifischen Lücken in der Kaspersky-Antivirensoftware noch keine direkte Einschätzung abgeben. Er betont gegenüber ITespresso aber, dass AV-Test bereits auf der Virus Bulletin Conference in Dublin 2005 auf die Dringlichkeit entsprechender Prüfungen und Checks hingewiesen hat, denn Sicherheitssoftware im Allgemeinen sei ein ideales Angriffsziel. “Schließlich wird jedes Datenpaket und jede Datei durch sie geprüft und Fehler bei der Verarbeitung dort haben schnell fatale Folgen. Man wird quasi erst durch den Einsatz einer bestimmten Software, die für Sicherheit sorgen soll, für bestimmte Sicherheitsprobleme anfällig”, so Marx.

Nutzung von ASLR und DEP in Antivirensoftware für Verbraucher (Grafik: AV-Test.org, Stand Oktober 2014).
Grad der Nutzung von ASLR und DEP in Antivirensoftware für Verbraucher (Grafik: AV-Test.org, Stand Oktober 2014).

Außerdem wurde von AV-Test bereits der Selbstschutz von Antiviren-Software geprüft. Dabei ging es unter anderem darum, ob bekannte Schutztechniken wie DEP und ASLR verwendet werden. Bei der im vergangenen Jahr durchgeführten Untersuchung wurde nach Consumer- und Business-Produkten unterschieden und insgesamt 24 Internet-Security-Suiten analysiert.

Die einzigen Produkte, die ASLR und DEP zu 100 Prozent und sowohl in der 32- als auch der 64-Bit-Version einsetzten, stammten von ESET (Consumer) und Symantec (Business). Bei Avira, G Data, McAfee und AVG wurde der Zusatzschutz zu 100 Prozent nur in den 64-Bit-Dateien des Produkts verwendet. Eine Neuauflage des Test mit den aktuellen Programmversionen wird AV-Test in etwa 2 Wochen vorlegen. Aber gegenüber ITespresso verriet Marx schon jetzt: “Die Ergebnisse sehen aber grundsätzlich nicht viel besser aus.”

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen