Details zu Sicherheitslücken in Kaspersky-Produkten enthüllt

Tavis Ormandy von Googles Project Zero hat Details zu schwerwiegenden Sicherheitslücken in der Antivirensoftware des russischen Anbieters Kaspersky enthüllt. Betroffen waren die Versionen 15 und 16 von Kaspersky Antivirus. Erste Hinweise auf die Schwachstellen hatte Ormandy schon Anfang September gegeben. Kaspersky reagierte umgehend und schloß die Lücken mit Updates für seine Produkte.

Auf Anfrage von ZDNets Schwestersite ITespresso teilte Kaspersky nun mit, dass keine Fälle bekannt sind, in denen die Lecks außerhalb des Google-Labors ausgenutzt wurden. Außerdem werde man weitere Maßnahmen ergreifen, um den jeder Software innewohnenden Unzulänglichkeiten künftig besser zu begegnen. Dafür nutze man bereits jetzt Address Space Layout Randomization (ASLR) sowie Data Execution Prevention (DEP) und plane, den Einsatz dieser Methoden noch auszubauen.

Dem Bericht von Ormandy zufolge, den Kaspersky weitgehend bestätigt hat, hätte sich ein Angreifer dadurch Systemrechte verschaffen können, dass er der Scan-Software speziell präparierte und in den Formaten DEX, VB6, CHM, ExeCryptor, PE oder Yoda’s Protector gepackte Dateien zur Untersuchung vorlegte. So ließen sich Integer-Überläufe und ein Buffer Overflow auslösen. Um Letzteres beim Entpacken von Dateien künftig zu verhindern, hat Kaspersky bereits einen Schutzmechanismus integriert. Dem Hersteller zufolge wurde das Problem binnen 24 Stunden nach Bekanntwerden behoben. Ormandy macht keine Zeitangabe, lobt aber ausdrücklich die schnelle Reaktion des Anbieters.

Sicherheitsforscher Tavis Ormandy hat Details zu der Anfang des Monats publizierten und inzwischen geschlossenen Zero-Day-Lücke in Antivirensoftware von Kaspersky veröffentlicht (Screenshot: Tavis Ormandy).

Gegenüber ITespresso erklärte Peter Stelzhammer vom Innsbrucker Prüflabor AV-Comparatives, das Problem sei im aktuellen Fall zwar Kaspersky-spezifisch, eigentlich könne es aber bei jedem Hersteller von Antivirensoftware auftreten, der dieselbe Technologie einsetze. „Auch Hersteller, die Sandboxen oder Emulatoren verwenden, kann es treffen, sofern diese Features unsicher implementiert sind.“ Exploits könnten für jede Software geschrieben werden, ob es geschehe, sei nur eine Frage des Aufwands.

„Im Allgemein kann man aber sagen, dass die AV-Hersteller sehr gute Arbeit zum Selbstschutz ihrer Programme leisten beziehungsweise im Normalfall schnell reagieren. Ein anderes Beispiel wäre der FireEye-Hack, bei dem der Fix allerdings sehr lange dauerte. Hier kann man vermutlich nicht mehr von einem professionellen Vorgehen sprechen“, so Stelzhammer weiter.

Grad der Nutzung von ASLR und DEP in Antivirensoftware für Verbraucher (Grafik: AV-Test.org, Stand Oktober 2014).Auch Andreas Marx vom Magdeburger Labor AV-Test will zu den gerade erst bekannt gewordenen, spezifischen Lücken in der Kaspersky-Antivirensoftware noch keine konkrete Einschätzung abgeben. Er betont gegenüber ITespresso aber, dass AV-Test bereits auf der Virus Bulletin Conference in Dublin 2005 auf die Dringlichkeit entsprechender Prüfungen und Checks (PDF) hingewiesen habe, denn Sicherheitssoftware im Allgemeinen sei ein ideales Angriffsziel. „Schließlich wird jedes Datenpaket und jede Datei durch sie geprüft und Fehler bei der Verarbeitung dort haben schnell fatale Folgen. Man wird quasi erst durch den Einsatz einer bestimmten Software, die für Sicherheit sorgen soll, für bestimmte Sicherheitsprobleme anfällig.“

AV-Test hat bereits den Selbstschutz von Antivirensoftware geprüft. Dabei ging es unter anderem darum, ob bekannte Schutztechniken wie DEP und ASLR verwendet werden. Bei der im vergangenen Jahr durchgeführten Untersuchung, die insgesamt 24 Internet-Security-Suiten umfasste, wurde nach Consumer- und Business-Produkten unterschieden. Die einzigen Produkte, die ASLR und DEP zu 100 Prozent und sowohl in der 32- als auch der 64-Bit-Version einsetzten, stammten von ESET (Consumer) und Symantec (Business). Bei Avira, G Data, McAfee und AVG wurde der Zusatzschutz zu 100 Prozent nur in den 64-Bit-Dateien des Produkts verwendet. Eine Neuauflage der Analyse mit den aktuellen Programmversionen wird AV-Test in etwa zwei Wochen vorlegen. Marx verriet jedoch schon jetzt: „Die Ergebnisse sehen grundsätzlich nicht viel besser aus.“

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de