• IT-Karriere:
  • Services:

Security: Mehr Sicherheitslücken in Kasperskys Antivirensoftware

Virenscanner sollen Nutzer eigentlich vor Bedrohungen schützen. Doch durch schlampige Programmierung hätten viele von ihnen selbst Sicherheitslücken, sagt Google-Forscher Tavis Ormandy. Jetzt hat er weitere Details zu Mängeln bei Kaspersky veröffentlicht.

Artikel veröffentlicht am ,
Schwachstellen für Antivirensoftware werden regelmäßig gehandelt.
Schwachstellen für Antivirensoftware werden regelmäßig gehandelt. (Bild: Tavis Ormandy / Wikileaks)

Virenscanner von Kaspersky enthalten eine ganze Reihe von Sicherheitslücken - das sagt Tavis Ormandy von Googles Projekt Zero. Mit Hilfe von Fuzzing und Googles Cloud-Plattform Scale habe er Produkte von Kaspersky auf Schwachstellen getestet und sei fündig geworden. Bereits Anfang September hatte Ormandy erste Informationen zu Lücken in Kaspersky-Produkten veröffentlicht und weitere Informationen angekündigt.

Stellenmarkt
  1. IT-POWER4You GmbH, Hamburg
  2. Stadtwerke München GmbH, München

Ormandy wurde in der Vergangenheit mehrfach für seine angeblich unverantwortliche Veröffentlichungspraxis von Sicherheitslücken kritisiert. In seinem Blogpost betont er jetzt, dass Kaspersky seit längerem informiert sei und die kritischen Bugs bereits geschlossen habe. Er forsche nicht nur über die Sicherheit von Kaspersky-Produkten, sondern untersuche auch Produkte von Sophos und Eset. Zudem kündigte er weitere Enthüllungen an.

Um Bedrohungen zu finden, durchsuchen Virenscanner üblicherweise den Netzwerk- und Datenverkehr. Für einen Virenscanner-Exploit reicht es demnach aus, eine Webseite anzusurfen oder eine E-Mail über das Mailprogramm abzurufen. Weitere Handlungen des Nutzers sind nicht erforderlich.

Fuzzing zeigt Lücken in Thinstall-Containern auf

Die Antivirensoftware von Kaspersky entpackt Thinstall-Container, um sie auf Malware zu durchsuchen. Durch Fuzzing der Thinstall-Anwendungen fand Ormandi einen Stack-Buffer-Overflow. Weil Kaspersky darauf verzichtete, den Overflow-Schutz /GS zu aktivieren, konnte er den Stack Frame überschreiben und manipulieren. In der Visual-Studio-Entwicklungsumgebung wird /GS Standardmäßig aktiviert, um Pufferüberläufe zu verhindern. Der Hersteller empfiehlt, die Option nur bei nicht sicherheitskritischen Anwendungen zu deaktivieren. Wieso Kaspersky die Option nicht nutzte, ist unklar.

Beim Exploit-Vorgang kam dem Google-Forscher zugute, dass das Kaspersky-Team Fehler in der Implementation von /Dynamicbase gemacht hatte. Die Funktion weist auszuführenden Instruktionen mit Adress-Space-Layout-Randomization (ASLR) per Rebase einen zufälligen Speicherbereich zu, um erfolgreiche Exploits zu erschweren.

Kaspersky scannt Zip-Archive auch im Verbund mit anderen Dateien

Der ursprüngliche Plan, eine infizierte DLL-Datei über den Windows-Loader zu laden, schlug fehl. Deshalb nutzte Ormandy aus, dass Kaspersky auch Zip-Archive scannt, die per Cat mit anderen Dateien verknüpft wurden. Er integrierte seinen Exploit in eine Zip-Datei und verknüpfte diese mit einer DLL. Damit gelang es ihm, über einen manipulierten Befehl den Windows-Rechner zu starten.

Ormandy will mit seinen Recherchen auf Fehler in Antivirus-Programmen hinweisen. Exploits für diese Programme würden regelmäßig gehandelt. Antivirenhersteller sollten Sandboxing für ihre Unpacker nutzen und dafür sorgen, dass die Prozesse mit weniger Berechtigungen laufen.

Nachtrag

Kaspersky hat bekanntgegeben, dass alle von Tavis Ormandy angezeigten Sicherheitslücken mittlerweile behoben seien. Insbesondere habe das Unternehmen den Stack-Overflow-Schutz /GS aktiviert, und es arbeite weiter an der Verbesserung der Produktsicherheit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-20%) 47,99€
  2. 69,99€
  3. 25,99€
  4. (-70%) 2,99€

tibrob 24. Sep 2015

1. Falsch. 2. Nein.

Anonymer Nutzer 24. Sep 2015

Die Firma AVG, Hersteller von Antiviren-Software, will Nutzerdaten künftig an...

Ultronkalaver 24. Sep 2015

TuneUp gibt es immer noch? Oh oh ... ich hatte gehofft die würden pleite gehen und das...

Ultronkalaver 24. Sep 2015

Viren sind heute nicht mehr das Problem. Das kann jede Software aber hier liegt nicht...


Folgen Sie uns
       


Lenovo Thinkpad X1 Fold angesehen (CES 2020)

Das Tablet mit faltbarem Display läuft mit Windows 10X und soll Mitte 2020 in den Handel kommen.

Lenovo Thinkpad X1 Fold angesehen (CES 2020) Video aufrufen
Streaming: Zehn besondere Serien für die Zeit der Isolation
Streaming
Zehn besondere Serien für die Zeit der Isolation

Kein Kino, kein Fitnessstudio, kein Theater, keine Bars, kein gar nix. Das Coronavirus hat das Land (und die Welt) lahmgelegt, so dass viele nun zu Hause sitzen: Zeit für Serien-Streaming.
Eine Rezension von Peter Osteried

  1. Videostreaming Fox kauft Tubi für 440 Millionen US-Dollar
  2. Musikindustrie in Deutschland Mehr Umsatz dank Audiostreaming
  3. Besuch bei Justwatch Größte Streaming-Suchmaschine ohne echte Konkurrenz

Coronakrise: Hardware-Industrie auf dem Weg der Besserung
Coronakrise
Hardware-Industrie auf dem Weg der Besserung

Fast alle Fabriken für Hardware laufen wieder - trotz verlängertem Chinese New Year. Bei Launches und Lieferengpässen sieht es anders aus.
Ein Bericht von Marc Sauter

  1. Kaufberatung (2020) Die richtige CPU und Grafikkarte
  2. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen

Buglas: Corona-Pandemie zeigt Notwendigkeit der Glasfaser
Buglas
Corona-Pandemie zeigt Notwendigkeit der Glasfaser

Mehr Datenupload und Zunahme der Sprachtelefonie bringe die Netze unter Druck. FTTB/H-Betreiber bleiben gelassen.
Eine Exklusivmeldung von Achim Sawall

  1. Coronavirus Österreich diskutiert verpflichtendes Tracking
  2. Coronavirus Funktion zur Netflix-Drosselung war längst geplant
  3. Coronakrise China will Elektroautoquote vorübergehend lockern

    •  /