Kaspersky Anti-Virus: Sicherheitslücken durch Unpacker

19. Oktober 2015 Kategorie: Backup & Security, Software & Co, geschrieben von:

kasperskyBei Google bzw. dessen Project Zero startet man immer wieder interessante Forschungsprojekte, versucht aber in erster Linie die Sicherheit bestehender Software zu verbessern. Aktuell untersucht man vor allem Virenscanner, die ja eigentlich den Rechner schützen sollen. Doch genau dadurch sind diese Anwendungen auch für Hacker eine spannende Angriffsfläche, da sie über außergewöhnlich viele Rechte verfügen. Aktuell plaudert Tavis Ormandy aus dem Team von Google Project Zero über die Verwundbarkeiten, die er in der verbreiteten Software Kaspersky Anti-Virus entdeckt hat.

Kaspersky arbeite bereits an der Behebung der Sicherheitslücken, so dass man bei Project Zero nun bereit sei, öffentlich über die Probleme zu sprechen: Es handelt sich um Querelen mit der Entdeckung von Netzwerk-Eindringlingen, SSL-Interception, der Integration des Datei-Scannings über den Browser und den Missbrauch lokaler Berechtigungen. Insgesamt gehen die potentiellen Exploits so weit, dass Verwender von Kaspersky Anti-Virus an ihren PCs komplett schachmatt gesetzt werden könnten.

Ein Problem betrifft sowohl Kaspersky Anti-Virus als auch alle anderen Produkte, welche die gleiche Engine benutzen – wie etwa die Firewall ZoneAlarm. Allerdings ist diese Lücke seit den neuen Definitionsdateien ab dem 7. September 2015 geschlossen. So konnten Hacker zuvor über Thinstall-Container, das sind Virtualization-Wrapper, welche Anwendungen die Verteilung erleichtern, Kaspersky Virus austricksen und manipulieren. Das Procedere hört sich selbst für IT-Kundige extrem komplex und verschachtelt an, kann aber hier nachgelesen werden.

kaspersky screen

Im Grunde galt es am Ende, Kasperskys Unpacker auszutricksen, indem eine ZIP-Datei und eine DLL miteinander verbunden werden, so dass die bösartigen Anhängsel weder Windows selbst noch Kaspersky auf Anhieb auffielen. Der Virenscanner wird dann durch den Exploit überfordert bzw. übernommen, während Windows von einer harmlosen und ungefährlichen DLL ausgeht.

Ormandy berichtet, dass man bei Project Zero viele Beweise dafür gefunden habe, dass für Exploits zu Virenscannern ein florierender Schwarzmarkt existiere. Denn Virenscanner sind aufgrund ihrer Berechtigungen und ihrer Verbreitung für Hacker äußerst beliebte Ziele geworden. Bei Project Zero hofft man daher, dass Antivirus-Unpacker, Emulatoren und Parser in Zukunft sandboxed betrieben werden – nicht aber mit System-Privilegien. Eine Möglichkeit sei etwa die offene Chromium Sandbox.

Trotz der gefundenen und erheblichen Sicherheitslücken lobt Ormandy von Project Zero die Kommunikation mit Kaspersky und die schnellen Reaktionszeiten. Der Anbieter habe extrem flott reagiert und sich auf Hochdruck um die Probleme gekümmert.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei
Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich
eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das
erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto
auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

André hat bereits 2609 Artikel geschrieben.