Security: Mehr Sicherheitslücken in Kasperskys Antivirensoftware

Virenscanner von Kaspersky enthalten eine ganze Reihe von Sicherheitslücken - das sagt Tavis Ormandy von Googles Projekt Zero. Mit Hilfe von Fuzzing und Googles Cloud-Plattform Scale habe er Produkte von Kaspersky auf Schwachstellen getestet und sei fündig geworden. Bereits Anfang September hatte Ormandy erste Informationen zu Lücken in Kaspersky-Produkten veröffentlicht und weitere Informationen angekündigt.

Ormandy wurde in der Vergangenheit mehrfach für seine angeblich unverantwortliche Veröffentlichungspraxis von Sicherheitslücken kritisiert. In seinem Blogpost betont er jetzt, dass Kaspersky seit längerem informiert sei und die kritischen Bugs bereits geschlossen habe. Er forsche nicht nur über die Sicherheit von Kaspersky-Produkten, sondern untersuche auch Produkte von Sophos und Eset. Zudem kündigte er weitere Enthüllungen an.

Um Bedrohungen zu finden, durchsuchen Virenscanner üblicherweise den Netzwerk- und Datenverkehr. Für einen Virenscanner-Exploit reicht es demnach aus, eine Webseite anzusurfen oder eine E-Mail über das Mailprogramm abzurufen. Weitere Handlungen des Nutzers sind nicht erforderlich.

Fuzzing zeigt Lücken in Thinstall-Containern auf

Die Antivirensoftware von Kaspersky entpackt Thinstall-Container, um sie auf Malware zu durchsuchen. Durch Fuzzing der Thinstall-Anwendungen fand Ormandi einen Stack-Buffer-Overflow. Weil Kaspersky darauf verzichtete, den Overflow-Schutz /GS zu aktivieren, konnte er den Stack Frame überschreiben und manipulieren. In der Visual-Studio-Entwicklungsumgebung wird /GS Standardmäßig aktiviert, um Pufferüberläufe zu verhindern. Der Hersteller empfiehlt, die Option nur bei nicht sicherheitskritischen Anwendungen zu deaktivieren. Wieso Kaspersky die Option nicht nutzte, ist unklar.

Beim Exploit-Vorgang kam dem Google-Forscher zugute, dass das Kaspersky-Team Fehler in der Implementation von /Dynamicbase gemacht hatte. Die Funktion weist auszuführenden Instruktionen mit Adress-Space-Layout-Randomization (ASLR) per Rebase einen zufälligen Speicherbereich zu, um erfolgreiche Exploits zu erschweren.

Kaspersky scannt Zip-Archive auch im Verbund mit anderen Dateien

Der ursprüngliche Plan, eine infizierte DLL-Datei über den Windows-Loader zu laden, schlug fehl. Deshalb nutzte Ormandy aus, dass Kaspersky auch Zip-Archive scannt, die per Cat mit anderen Dateien verknüpft wurden. Er integrierte seinen Exploit in eine Zip-Datei und verknüpfte diese mit einer DLL. Damit gelang es ihm, über einen manipulierten Befehl den Windows-Rechner zu starten.

Ormandy will mit seinen Recherchen auf Fehler in Antivirus-Programmen hinweisen. Exploits für diese Programme würden regelmäßig gehandelt. Antivirenhersteller sollten Sandboxing für ihre Unpacker nutzen und dafür sorgen, dass die Prozesse mit weniger Berechtigungen laufen.

Nachtrag

Kaspersky hat bekanntgegeben, dass alle von Tavis Ormandy angezeigten Sicherheitslücken mittlerweile behoben seien. Insbesondere habe das Unternehmen den Stack-Overflow-Schutz /GS aktiviert, und es arbeite weiter an der Verbesserung der Produktsicherheit.