Categories: Sicherheit

Details zu Sicherheitslücken in Kaspersky-Produkten enthüllt

Tavis Ormandy von Googles Project Zero hat Details zu schwerwiegenden Sicherheitslücken in der Antivirensoftware des russischen Anbieters Kaspersky enthüllt. Betroffen waren die Versionen 15 und 16 von Kaspersky Antivirus. Erste Hinweise auf die Schwachstellen hatte Ormandy schon Anfang September gegeben. Kaspersky reagierte umgehend und schloß die Lücken mit Updates für seine Produkte.

Auf Anfrage von ZDNets Schwestersite ITespresso teilte Kaspersky nun mit, dass keine Fälle bekannt sind, in denen die Lecks außerhalb des Google-Labors ausgenutzt wurden. Außerdem werde man weitere Maßnahmen ergreifen, um den jeder Software innewohnenden Unzulänglichkeiten künftig besser zu begegnen. Dafür nutze man bereits jetzt Address Space Layout Randomization (ASLR) sowie Data Execution Prevention (DEP) und plane, den Einsatz dieser Methoden noch auszubauen.

Dem Bericht von Ormandy zufolge, den Kaspersky weitgehend bestätigt hat, hätte sich ein Angreifer dadurch Systemrechte verschaffen können, dass er der Scan-Software speziell präparierte und in den Formaten DEX, VB6, CHM, ExeCryptor, PE oder Yoda’s Protector gepackte Dateien zur Untersuchung vorlegte. So ließen sich Integer-Überläufe und ein Buffer Overflow auslösen. Um Letzteres beim Entpacken von Dateien künftig zu verhindern, hat Kaspersky bereits einen Schutzmechanismus integriert. Dem Hersteller zufolge wurde das Problem binnen 24 Stunden nach Bekanntwerden behoben. Ormandy macht keine Zeitangabe, lobt aber ausdrücklich die schnelle Reaktion des Anbieters.

Sicherheitsforscher Tavis Ormandy hat Details zu der Anfang des Monats publizierten und inzwischen geschlossenen Zero-Day-Lücke in Antivirensoftware von Kaspersky veröffentlicht (Screenshot: Tavis Ormandy).

Gegenüber ITespresso erklärte Peter Stelzhammer vom Innsbrucker Prüflabor AV-Comparatives, das Problem sei im aktuellen Fall zwar Kaspersky-spezifisch, eigentlich könne es aber bei jedem Hersteller von Antivirensoftware auftreten, der dieselbe Technologie einsetze. „Auch Hersteller, die Sandboxen oder Emulatoren verwenden, kann es treffen, sofern diese Features unsicher implementiert sind.“ Exploits könnten für jede Software geschrieben werden, ob es geschehe, sei nur eine Frage des Aufwands.

„Im Allgemein kann man aber sagen, dass die AV-Hersteller sehr gute Arbeit zum Selbstschutz ihrer Programme leisten beziehungsweise im Normalfall schnell reagieren. Ein anderes Beispiel wäre der FireEye-Hack, bei dem der Fix allerdings sehr lange dauerte. Hier kann man vermutlich nicht mehr von einem professionellen Vorgehen sprechen“, so Stelzhammer weiter.

Grad der Nutzung von ASLR und DEP in Antivirensoftware für Verbraucher (Grafik: AV-Test.org, Stand Oktober 2014).Auch Andreas Marx vom Magdeburger Labor AV-Test will zu den gerade erst bekannt gewordenen, spezifischen Lücken in der Kaspersky-Antivirensoftware noch keine konkrete Einschätzung abgeben. Er betont gegenüber ITespresso aber, dass AV-Test bereits auf der Virus Bulletin Conference in Dublin 2005 auf die Dringlichkeit entsprechender Prüfungen und Checks (PDF) hingewiesen habe, denn Sicherheitssoftware im Allgemeinen sei ein ideales Angriffsziel. „Schließlich wird jedes Datenpaket und jede Datei durch sie geprüft und Fehler bei der Verarbeitung dort haben schnell fatale Folgen. Man wird quasi erst durch den Einsatz einer bestimmten Software, die für Sicherheit sorgen soll, für bestimmte Sicherheitsprobleme anfällig.“

AV-Test hat bereits den Selbstschutz von Antivirensoftware geprüft. Dabei ging es unter anderem darum, ob bekannte Schutztechniken wie DEP und ASLR verwendet werden. Bei der im vergangenen Jahr durchgeführten Untersuchung, die insgesamt 24 Internet-Security-Suiten umfasste, wurde nach Consumer- und Business-Produkten unterschieden. Die einzigen Produkte, die ASLR und DEP zu 100 Prozent und sowohl in der 32- als auch der 64-Bit-Version einsetzten, stammten von ESET (Consumer) und Symantec (Business). Bei Avira, G Data, McAfee und AVG wurde der Zusatzschutz zu 100 Prozent nur in den 64-Bit-Dateien des Produkts verwendet. Eine Neuauflage der Analyse mit den aktuellen Programmversionen wird AV-Test in etwa zwei Wochen vorlegen. Marx verriet jedoch schon jetzt: „Die Ergebnisse sehen grundsätzlich nicht viel besser aus.“

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago