Die Sicherheitsfirma Ensilo hat einen Fehler in Antivirensoftware von Anbietern wie Kaspersky, AVG und McAfee gefunden. Er erlaubt es, die fraglichen Produkte für Angriffe auf Windows-Systeme einzusetzen, da sie Sicherheitsfunktionen wie Adress Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) aushebeln. Zwar haben die betroffenen Firmen die Lücken inzwischen geschlossen, Ensilo geht aber davon aus, dass auch Software anderer Hersteller und damit möglicherweise Millionen von Nutzern betroffen sind.
Entdeckt wurde die Schwachstelle erstmals im März 2015 in AVG Internet Security 2015 Build 5736. „Eine Untersuchung unserer Forscher enthüllte einen Fehler in AVG, der es einem Angreifer erlaubte, eine beliebige alte Anfälligkeit in einer Drittanwendung wie Acrobat Reader auszunutzen, um ein Windows-System zu kompromittieren“, schreibt Tomer Bitton, Vice President of Research bei Ensilo, in einem Blogeintrag. AVG habe das Loch innerhalb von zwei Tagen gestopft.
Der Fehler selbst beruht darauf, dass Antivirusprodukte Speicherseiten mit der Berechtigung zum Lesen, Schreiben und Ausführen von Code mit konstanten und vorhersehbaren Adressen zuteilen. Die Zuteilung erfolge für verschiedene Prozesse von Drittanbieteranwendungen wie Browsern und Adobe Reader. Das wiederum mache die Windows-Sicherheitsfunktionen ASLR und DEP unbrauchbar und erleichtere es einem Angreifer, Sicherheitslücken in Drittanwendungen auszunutzen.
Ensilo hat nach eigenen Angaben ein Tool entwickelt, das Software anderer Anbieter auf die Sicherheitslücke testet. Dabei hätten sich McAfee Virus Scan Enterprise Version 8.8 und Kaspersky Total Security 2015 Version 15.0.2.361 als anfällig herausgestellt. McAfee habe am 20. August einen Fix veröffentlicht, Kaspersky am 24. September.
Allerdings liefert das Tool keine direkten Ergebnisse, sondern nur Hinweise auf die betroffenen Prozesse, die mit einer vorhersehbaren Speicheradresse ausgeführt werden. Ensilo weist darauf hin, dass das Tool Browser benutzt, um die Anfälligkeit auf einem System zu finden – der Fehler stecke allerdings nicht im Browser. Weitere Details zur Nutzung des Tools hält das Unternehmen auf seiner Website bereit.
Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert
Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.
Schon im September hatte Tavis Ormandy von Googles Project Zero Details zu schwerwiegenden Sicherheitslücken in der Antivirensoftware von Kaspersky enthüllt. Betroffen waren damals die Versionen 15 und 16 von Kaspersky Antivirus. Ormandy habe bei seinen Versuchen gezeigt, dass solche Lücken nicht nur theoretisch, sondern auch in der Praxis ausgenutzt werden könnten, ergänzte Bitton.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
1 Kommentar zu Erneut Sicherheitslücke in Antivirensoftware von Kaspersky gefunden
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Was soll denn diese unsägliche Überschrift? Sie suggeriert, dass das Problem Kaspersky betrifft. Dabei betraf (!) es mindestens drei große Hersteller. Dann folgt am Ende die Mutmaßung, dass auch die Software anderer Herstellers betroffen sein könnte. Ärgerlich ist daran zum Einen, dass Leser, die nicht Kaspersky nutzen, gar nicht erst in den Artikel reinschauen, weil sie denken, es Beträge sie ja nicht. Außerdem schadet er einseitig Kaspersky. Zu guter letzt ist der Bericht sowieso eher sinnlos, da bei den drei genannten Herstellern die Lücke bereits geschlossen ist. Was andere Produkte angeht, so handelt es sich um bloße Vermutungen.