AV-Test: Selbstschutz bei Sicherheitssoftware nicht die Regel
Das Magdeburger Sicherheitsinstitut AV-Test hat im vergangenen Monat insgesamt 32 Antiviren-Suiten auf den Einsatz von zusätzlichen Selbstschutzmechanismen hin untersucht. Konkret wollte das Sicherheitsinstitut wissen, ob und in welchem Umfang die Hersteller ihre Software mithilfe der im Betriebssystem integrierten Sicherheitstechniken ASLR und DEP vor Angriffen schützen. Auf dem Prüfstand standen 24 Suiten für Endverbraucher sowie 8 Security-Lösungen für Unternehmen. Für die Analyse wurden 32- und 64-Bit-Varianten der in einem Antivirus-Paket enthaltenen Dateien jeweils getrennt erfasst. Bei den untersuchten Files handelte es sich unter anderem um ausführbare Programme (.exe) und Programm-Bibliotheken (.dll).
Die Technik ASLR (Address Space Layout Randomization) erschwert das Ausnutzen von Sicherheitslücken, indem Adressbereiche im Arbeitsspeicher den Programmen auf zufälliger Basis zugewiesen werden. Dies soll Angriffe per Pufferüberlauf möglichst verhindern. DEP (Data Execution Prevention) soll hingegen unterbinden, dass beliebige Daten als Programm ausgeführt werden und auf diese Weise Schadcode starten. AMD und Intel haben diese Technik bereits seit zehn Jahren in sämtlichen Prozessoren integriert. ASLR und DEP lassen sich laut AV-Test ohne Einfluss auf den Codeumfang und die Programmlaufzeit in den Quelltext implementieren, da es sich um aktivierbare Compiler-Funktionen handelt.
Das Resultat der Überprüfung der 32 Security-Suiten ist nach Angaben von AV-Test etwas überraschend, da einige Hersteller ASLR und DEP zwar komplett oder teilweise einsetzten, andere Anbieter aber fast vollständig darauf verzichteten. Die einzigen Produkte, die ASLR und DEP zu 100 Prozent nutzen, stammen dem Sicherheitsinstitut zufolge von Eset (Consumer-Variante Smart Security) und Symantec (Business-Variante Endpoint Protection).
Insgesamt setzt bei den Consumer-Lösungen fast die Hälfte aller Schutzpakete zu über 90 Prozent auf ASLR und DEP. Schlusslichter in dieser Rangliste sind die Anbieter Kingsoft und eScan mit 19 respektive 17,5 Prozent.
Avira, G Data, McAfee sowie AVG setzen den Zusatzschutz nur in den 64-Bit-Dateien ihres Produkts zu 100 Prozent ein. Bei den 32-Bit-Versionen schwankt der Wert zwischen 90 und nahezu 100 Prozent. Der Trend geht AV-Test zufolge alles in allem dahin, dass die Einsatzrate von ASLR und DEP bei 64-Bit-Dateien höher ist als bei den 32-Bit-Versionen. Dies sei jedoch nicht die Regel.
Auffallend ist laut dem Sicherheitsinstitut darüber hinaus, dass die Hersteller bei den Firmenlösungen viel stärker auf den zusätzlichen Selbstschutz setzen. Wie erwähnt nutzt in dem Kontext jedoch lediglich Symantec zu 100 Prozent ASLR und DEP. Sophos tut dies dagegen nur bei seinen 64-Bit-Dateien, weist aber darauf hin, dass bei seinen 32-Bit-Dateien eine Vielzahl der nicht via ASLR und DEP geschützten Dateien DLLs sind, die nur Daten enthielten und somit keine Gefahr darstellten. Addiert man für jedes Business-Security-Produkt die 32- und 64-Bit-Werte, so liegt bei 6 von 8 Produkten der Einsatz zwischen 81,5 bis über 97 Prozent. Von den bekannten Anbietern fällt hier nur Trend Micro aus dem Raster: Im Durchschnitt erzielt dessen Enterprise-Lösung Trend Micro Office Scan lediglich knapp 19 Prozent.
Grundsätzlich empfiehlt AV-Test den Einsatz der Schutzmechanismen ASLR und DEP, da eine Überlistung dieser Techniken einen Exploit-Autor Zeit, Ressourcen und zusätzliche Schritte kostet. Letztere bedeuteten nicht nur einen erhöhten Aufwand, sondern könnten durch die jeweilige Sicherheitssoftware unter Umständen auch leichter als Angriff analysiert werden.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de