SicherheitSicherheitsmanagement

Lücke in Sicherheitssoftware ermöglichte Angriffe auf Windows-Rechner

SicherKMU: IT-Wissen für Entscheider(Bild: Shutterstock)
2 1 Keine Kommentare

Der Fehler steckte in Produkten von Kaspersky, AVG und McAfee. Er ermöglicht das Aushebeln von Windows-Sicherheitsfunktionen und das Ausnutzen einer beliebigen alten Lücke in einer Drittanwendung wie Acrobat Reader. Mittlerweile haben alle drei Anbieter die Schwachstelle behoben.

Das Sicherheitsunternehmen Ensilo hat eine Lücke in Sicherheitssoftware von AVG, Kaspersky und McAfee entdeckt. Sie ermöglicht es, Sicherheitsfunktionen wie Adress Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) zu umgehen und diese Programme für Attacken gegen Windows-Systeme zu nutzen. Die Unternehmen haben die Schwachstelle bereits behoben. Ensilo geht jedoch davon aus, dass auch Software anderer Anbieter und somit womöglich Millionen von Anwendern betroffen sind.

Lücke in Sicherheitssoftware ermöglichte Angriffe auf Windows-Rechner (Bild: Shutterstock)

Erstmals wurde die Schwachstelle im März 2015 in AVG Internet Security 2015 Build 5736 gefunden. “Eine Untersuchung unserer Forscher deckte einen Fehler in AVG auf, der es einem Angreifer erlaubte, eine beliebige alte Anfälligkeit in einer Drittanwendung wie Acrobat Reader auszunutzen, um ein Windows-System zu kompromittieren”, schreibt Tomer Bitton, Vice President of Research bei Ensilo, in einem Blogbeitrag. AVG habe die Lücke daraufhin binnen zwei Tagen geschlossen.

Die Schwachstelle nutzte aus, dass Antivirenprodukte Speicherseiten mit der Berechtigung zum Lesen, Schreiben und Ausführen von Code mit konstanten und vorhersehbaren Adressen zuteilen. Die Zuteilung geschehe für diverse Prozesse von Drittanbieteranwendungen wie Browsern und Adobe Reader. Dies mache die Windows-Sicherheitsfunktionen ASLR und DEP wiederum unbrauchbar und erleichtere es einem Angreifer, Sicherheitslücken in Drittanwendungen auszunutzen.

Nach eigenen Angaben hat Ensilo ein Werkzeug entwickelt, das Software anderer Anbieter auf die Schwachstelle testet. Dabei hätten sich McAfee Virus Scan Enterprise Version 8.8 und Kaspersky Total Security 2015 Version 15.0.2.361 als verwundbar erwiesen. Am 20. August habe McAfee dann einen Fix veröffentlicht, Kaspersky am 24. September.

Das Werkzeug liefert allerdings nur Hinweise auf die betroffenen Prozesse, die mit einer vorhersehbaren Speicheradresse ausgeführt werden. Ensilo verweist darauf, dass das Tool Browser einsetzt, um die Schwachstelle auf einem System zu finden – der Fehler finde sich allerdings nicht im Browser. Einzelheiten zur Nutzung des Werkzeugs hält das Unternehmen auf seiner Website bereit.

Dass der Selbstschutz von Sicherheitssoftware oft nicht den Erwartungen entspricht, hatte eine Testreihe von AV-Test bereits im Herbst 2014 belegt. Demnach wurden insbesondere die Schutzmechanismen ASLR und DEP nicht in dem Umfang eingesetzt, wie man das erwarten dürfte. ASLR (Address Space Layout Randomization) erschwert das Ausnutzen von Sicherheitslücken, indem Programmen Adressbereiche im Arbeitsspeicher nach dem Zufallsprinzip zugewiesen werden. Dies soll Angriffe per Pufferüberlauf erschweren.

Mit DEP (Data Execution Prevention) soll verhindert werden, dass beliebige Dateien als Programm ausgeführt werden und auf diese Weise Schadcode starten. AMD und Intel haben diese Technik bereits seit zehn Jahren in allen ihren Prozessoren integriert. Da es sich um aktivierbare Compiler-Funktionen handelt, lassen sich ASLR und DEP ohne Auswirkungen auf den Codeumfang und die Programmlaufzeit in den Quelltext implementieren.

Wie eine zweite Testreihe von AV-Test im Herbst 2015 gezeigt hat, haben sich die meisten Hersteller die Kritik vom Vorjahr zu Herzen genommen und in den beiden Bereichen erheblich nachgebessert. Avira, Bullguard, ESET, Kaspersky, McAfee und Symantec setzten die Schutztechniken DEP und ASLR laut AV-Test zu 100 Prozent ein. Bei den getesteten Produkten von G Data und F-Secure waren es 99,5 respektive 99,4 Prozent. Einige Anbieter erklärten allerdings, 100 Prozent nie erreichen zu können, da sie eigene, komplementäre Schutztechniken verwenden, die teilweise nicht zu DEP und ASLR kompatibel sind.

Selbstschutz von Antiviren-Software Stand 2015 (Grafik: AV-Test)

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Seit September 2013 ist Rainer hauptsächlich für ITespresso im Einsatz, schreibt aber gerne auch mal hintergründige Artikel für ZDNet und springt ebenso gerne für silicon ein. Er interessiert sich insbesondere für die Themen IT-Security und Mobile. Sein beständiges Ziel ist es, die komplexe IT-Welt so durchsichtig und verständlich wie möglich abzubilden.

Folgen