Kritische Lücken in Malwarebytes Anti-Malware entdeckt

Sicherheitsforscher von Googles Project Zero haben mehrere schwerwiegende Schwachstellen in Malwarebytes Anti-Malware-Tool entdeckt. Das in einer kostenlosen und einer Premium-Version verfügbare Programm für Privatanwender wird weltweit von 250 Millionen Nutzern eingesetzt, wie der Hersteller kürzlich bekannt gab. Ihm zufolge kann es noch drei bis vier Wochen dauern, bis alle der ihm im November gemeldeten Lücken geschlossen sind.

Wie das Sicherheitsunternehmen mitteilt, hat es mehrere Schwachstellen bereits serverseitig beheben können. Aktuell teste man eine neue Version (2.2.1) der Anti-Malware-Software, um auch die zusätzlichen clientseitigen Lecks zu stopfen.

Sicherheitsforscher Tavis Ormandy hatte gestern gemäß der Richtlinien von Project Zero einen teilweise geschwärzten Bericht zu den Sicherheitslücken in Malwarebytes Software veröffentlicht. Demnach bezieht der Client Malware-Signatur-Updates über eine unverschlüsselte HTTP-Verbindung, was Man-in-the-Middle-Angriffe ermögliche.

Weitere von Ormandy geschilderte Lücken erlauben Angreifern auf simple Weise Rechteausweitung und das Ausführen von Schadcode aus der Ferne. Von den Sicherheitsproblemen betroffen sind offenbar sowohl die kostenlose Variante als auch die kostenpflichtige Premium-Version von Malwarebytes Anti-Malware. Anwendern der kostenpflichtigen Ausgabe empfiehlt der Hersteller, bis zum Erscheinen einer fehlerberichtigten Version in den Einstellungen die Option „Selbstschutz“ zu aktivieren. Dadurch könnten sie die gemeldeten Schwachstellen entschärfen.

Zu der von Ormandy geschilderte Möglichkeit eines Angreifers, über die Anti-Malware-Software Schadcode in ein System einzuschleusen, erklärt Malwarebytes-Gründer und CEO Marcin Kleczynski: „Aufgrund unserer Untersuchungen sind wir der Meinung, dass dies nur möglich ist, wenn eine Maschine nach der anderen angegriffen wird.“ Dennoch sei das Problem gravierend genug, um einen Fix dafür bereitzustellen.

Die von Ormandy entdeckten Lücken stecken in der Privatanwenderversion von Malwarebytes Anti-Malware (Bild: Malwarebytes).

Zugleich kündigte Kleczynski den Start eines Bug-Prämienprogramms an. Darüber können unabhängige Sicherheitsforscher bisher unentdeckte Lücken in Malwarebytes‘ Software melden und erhalten dafür eine Belohnung. Diese beläuft sich je nach Schweregrad der gemeldeten Schwachstelle auf 100 bis 1000 Dollar. Außerdem werden die Entdecker in Malwarebytes Hall of Fame aufgenommen.

„Unglücklicherweise sind Sicherheitslücken Teil der harten Realität bei der Software-Entwicklung“, so Kleczynski weiter. „Ein Programm zur Offenlegung von Schwachstellen ist ein Weg, deren Entdeckung zu beschleunigen und Firmen wie Malwarebytes zu ermöglichen, sie zu beseitigen.“

Anfällige Sicherheitssoftware stellt eine besonders große Gefahr dar, weil sie mit weitreichenden Berechtigungen ausgestattet und oft tief ins System integriert ist. Ormandy hatte zuvor schon ähnliche Lücken in Produkten von AVG, Kaspersky, FireEye, Trend Micro, ESET und Sophos aufgedeckt.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de