Erneut Sicherheitslücke in Antivirensoftware von Kaspersky gefunden

Die Sicherheitsfirma Ensilo hat einen Fehler in Antivirensoftware von Anbietern wie Kaspersky, AVG und McAfee gefunden. Er erlaubt es, die fraglichen Produkte für Angriffe auf Windows-Systeme einzusetzen, da sie Sicherheitsfunktionen wie Adress Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) aushebeln. Zwar haben die betroffenen Firmen die Lücken inzwischen geschlossen, Ensilo geht aber davon aus, dass auch Software anderer Hersteller und damit möglicherweise Millionen von Nutzern betroffen sind.

Entdeckt wurde die Schwachstelle erstmals im März 2015 in AVG Internet Security 2015 Build 5736. „Eine Untersuchung unserer Forscher enthüllte einen Fehler in AVG, der es einem Angreifer erlaubte, eine beliebige alte Anfälligkeit in einer Drittanwendung wie Acrobat Reader auszunutzen, um ein Windows-System zu kompromittieren“, schreibt Tomer Bitton, Vice President of Research bei Ensilo, in einem Blogeintrag. AVG habe das Loch innerhalb von zwei Tagen gestopft.

Der Fehler selbst beruht darauf, dass Antivirusprodukte Speicherseiten mit der Berechtigung zum Lesen, Schreiben und Ausführen von Code mit konstanten und vorhersehbaren Adressen zuteilen. Die Zuteilung erfolge für verschiedene Prozesse von Drittanbieteranwendungen wie Browsern und Adobe Reader. Das wiederum mache die Windows-Sicherheitsfunktionen ASLR und DEP unbrauchbar und erleichtere es einem Angreifer, Sicherheitslücken in Drittanwendungen auszunutzen.

Ensilo hat nach eigenen Angaben ein Tool entwickelt, das Software anderer Anbieter auf die Sicherheitslücke testet. Dabei hätten sich McAfee Virus Scan Enterprise Version 8.8 und Kaspersky Total Security 2015 Version 15.0.2.361 als anfällig herausgestellt. McAfee habe am 20. August einen Fix veröffentlicht, Kaspersky am 24. September.

Allerdings liefert das Tool keine direkten Ergebnisse, sondern nur Hinweise auf die betroffenen Prozesse, die mit einer vorhersehbaren Speicheradresse ausgeführt werden. Ensilo weist darauf hin, dass das Tool Browser benutzt, um die Anfälligkeit auf einem System zu finden – der Fehler stecke allerdings nicht im Browser. Weitere Details zur Nutzung des Tools hält das Unternehmen auf seiner Website bereit.

Schon im September hatte Tavis Ormandy von Googles Project Zero Details zu schwerwiegenden Sicherheitslücken in der Antivirensoftware von Kaspersky enthüllt. Betroffen waren damals die Versionen 15 und 16 von Kaspersky Antivirus. Ormandy habe bei seinen Versuchen gezeigt, dass solche Lücken nicht nur theoretisch, sondern auch in der Praxis ausgenutzt werden könnten, ergänzte Bitton.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de