Kaspersky Anti-Virus: Sicherheitslücken durch Unpacker

kasperskyBei Google bzw. dessen Project Zero startet man immer wieder interessante Forschungsprojekte, versucht aber in erster Linie die Sicherheit bestehender Software zu verbessern. Aktuell untersucht man vor allem Virenscanner, die ja eigentlich den Rechner schützen sollen. Doch genau dadurch sind diese Anwendungen auch für Hacker eine spannende Angriffsfläche, da sie über außergewöhnlich viele Rechte verfügen. Aktuell plaudert Tavis Ormandy aus dem Team von Google Project Zero über die Verwundbarkeiten, die er in der verbreiteten Software Kaspersky Anti-Virus entdeckt hat.

Kaspersky arbeite bereits an der Behebung der Sicherheitslücken, so dass man bei Project Zero nun bereit sei, öffentlich über die Probleme zu sprechen: Es handelt sich um Querelen mit der Entdeckung von Netzwerk-Eindringlingen, SSL-Interception, der Integration des Datei-Scannings über den Browser und den Missbrauch lokaler Berechtigungen. Insgesamt gehen die potentiellen Exploits so weit, dass Verwender von Kaspersky Anti-Virus an ihren PCs komplett schachmatt gesetzt werden könnten.

Ein Problem betrifft sowohl Kaspersky Anti-Virus als auch alle anderen Produkte, welche die gleiche Engine benutzen – wie etwa die Firewall ZoneAlarm. Allerdings ist diese Lücke seit den neuen Definitionsdateien ab dem 7. September 2015 geschlossen. So konnten Hacker zuvor über Thinstall-Container, das sind Virtualization-Wrapper, welche Anwendungen die Verteilung erleichtern, Kaspersky Virus austricksen und manipulieren. Das Procedere hört sich selbst für IT-Kundige extrem komplex und verschachtelt an, kann aber hier nachgelesen werden.

kaspersky screen

Im Grunde galt es am Ende, Kasperskys Unpacker auszutricksen, indem eine ZIP-Datei und eine DLL miteinander verbunden werden, so dass die bösartigen Anhängsel weder Windows selbst noch Kaspersky auf Anhieb auffielen. Der Virenscanner wird dann durch den Exploit überfordert bzw. übernommen, während Windows von einer harmlosen und ungefährlichen DLL ausgeht.

Ormandy berichtet, dass man bei Project Zero viele Beweise dafür gefunden habe, dass für Exploits zu Virenscannern ein florierender Schwarzmarkt existiere. Denn Virenscanner sind aufgrund ihrer Berechtigungen und ihrer Verbreitung für Hacker äußerst beliebte Ziele geworden. Bei Project Zero hofft man daher, dass Antivirus-Unpacker, Emulatoren und Parser in Zukunft sandboxed betrieben werden – nicht aber mit System-Privilegien. Eine Möglichkeit sei etwa die offene Chromium Sandbox.

Trotz der gefundenen und erheblichen Sicherheitslücken lobt Ormandy von Project Zero die Kommunikation mit Kaspersky und die schnellen Reaktionszeiten. Der Anbieter habe extrem flott reagiert und sich auf Hochdruck um die Probleme gekümmert.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

15 Kommentare

  1. Sicherheitssoftware, die die Sicherheit des Systems gefährdet. Klingt nach Realsatire 😉

  2. @Heiko: Ein wenig, aber am Ende ist es auch nur Software, welche Fehler enthalten kann.

  3. Installiert und gleich wieder entfernt. Nach der Installation konnte nicht mal Chrome gestartet werden. Sämtliche Software wurde geblockt.

  4. Ich habe vor ein paar Tagen festgestellt das Kaspersky in JEDE Webseite eine Javascript Datei (main.js) injiziert.

    Dabei wird ein lokaler Proxy installiert und ein SIcherheitszertifikat, damit zum Beispiel Webseiten von Banken das nicht merken.

    Diese Injektion wird auch nicht kommuniziert. Beim Installieren erhält man nirgendwo Informationen dazu. Es gibt auch im Setup keine Einstellung zum Deaktivieren.

    Kaspersky ist also mit Hackertricks auf jeder Webseite drauf, ohne das die allermeisten User das auch nur ahnen und ohne das man das abstellen kann.

    Auch auf Banking Webseiten !!

    Bei reddit.com gibt es Diskussionen dazu, auch zum Sicherheitsaspekt. Das ganze ist wohl auch eine erhebliche Sicherheitslücke, weil Hacker die main.js Datei austauschen können bzw den Proxyaufruf mit anderen Webadressen – und zwar ohne das man das als User merkt.

    Diese Schweinerei kann man nicht abstellen! Ich finde das eine unglaubliche Frechheit, dadurch jede Webseite zu verändern und ohne das man als User (und Kunde) darüber auch nur informiert wird.

    Das ganze ist nicht nur in Kaspersky KIS2016 sondern auch in KIS2015 und in anderen Produkten enthalten. Es gibt auch in den Kaspersky Foren – seit teilweise Ende letzten Jahres – Diskussionen dazu, aber denen ist das egal.

    Ich habe deshalb Kaspersky angemailt und bisher keine Antwort erhalten.

    Gestern habe ich daher Kaspersky deinstalliert (obwohl die Lizenz noch 11 Monate läuft) und Norton Security installiert. Kaspersky ist für mich gestorben.

  5. Symantecs frühe Versuche auf OS X Fuß zu fassen hat bei der Installation in sensiblen Dateien und Ordnern Rechte für jedermann eingeräumt. In einem der Ordner waren Boot-Skripten untergebracht, die bei Systemstart ausgeführt wurden, was man damit alles hätte machen können, könnt ihr selber überlegen, seit dem benutzte ich nur noch Brain.app v2.0

    BTW: auf einer Mac IT Messe hat mich ein halbes Jahr nach dem kläglichen Versuch mal ein Mitarbeiter der Firma angesprochen. Ich habe ihm erstmal erklärt, dass seine Leute sich mit UNIX befassen sollten und nicht mehr Löcher ins System reißen mögen, sondern Anwender schützen sollen. War nachher recht kleinlaut… Und für die Umstehenden bestimmt ein Spektakel …

  6. @elv
    Ich habe Windows 10. Insofern sind mir Probleme auf Mac wurscht. Norton ist seit Jahrzehnten in Windows unterwegs. Das sollte also funktionieren.

    Kaspersky hackt sich im Grunde ihne mein Wissen in meinen Computer rein, Das sind Irre da.

  7. Langsam glaube ich das Kaspersky sich immer mehr selbst demontiert.
    Habe nach jahrelanger Nutzung leider auch mit dem Update auf KIS 2015 mich von Kaspersky verabschiedet, da die Einstellungen inzwischen zu komplex geworden sind. Wollte damals „nur“ einstellen das jedes Programm vor dem ersten Internet Zugriff nach Rechten fragt. Leider war es nicht möglich dieses auf einfache Weise einzustellen und nach nächtelangen Versuchen in den Einstellungen und Forumssuche, habe mich schweren Herzens entschlossen meine Lizenz nicht weiter zu verlängern.
    Inzwischen habe ich seit 2Jahren GDATA am laufen und muß sagen, das ich die Entscheidung nibht bereue und bis auf Kleinigkeiten damit auch sehr zufrieden bin

  8. sunworker
    Etwas ähnliches Nutzen alle, auch Symantec (Norton gibt es seit etlichen Jahren nicht mehr)!
    Und nein, sie Hacken da nicht rein. Die Technik dahinter hast Du nicht verstanden!

  9. @Scaver
    Sorry das ist alles falsch was du sagst.

    Norton injeziert keine Javascript Datei in Webseiten. Das ist leicht nachzuprüfen. Norton installiert ein Plugin in Chrome. Das kann man aber abschalten bzw. einfach nicht installieren.

    So hat das Kaspersky früher auch gemacht. Jetzt injezieren Sie Javascript Dateien ob man will oder nicht. Und ohne einem das überhaupt zu sagen. Ich kann es nicht mal auf Banking Seiten abschalten. Das geht gar nicht.

    Hier kannst du dich über Kaspersky informieren:
    Kaspersky injects remote javascript into all your pages. Even secure ones.
    https://www.reddit.com/r/privacy/comments/3frjqw/psa_kaspersky_injects_remote_javascript_into_all/

    Und die Software heisst Norton Security Deluxe.

  10. FriedeFreudeEierkuchen says:

    @sunworker: in den Tests der letzten Jahre schnitt Norton nie gut ab.
    @MAD: GData schnitt im Geschwindigkeitstest nicht gut ab. Aber solange es dich nicht ausbremst – die Schutzwirkung ist gut.
    Schau regelmäßig mal auf https://www.av-test.org/de/antivirus/privat-windows/ vorbei. Die Resultate ändern sich immer wieder mal. Die Software die im einen Jahr gut war, muss es im nächsten Test nicht wieder sein.

    Generell scheint es schwer zu sein, einen Virenscanner zu finden, der zum einen zuverlässig ist (schnelle Signaturupdates, gute Erkennungs-Algos), zum anderen den Rechner nicht ständig zu unpassenden Momenten ausbremst. F-Secure kann ich z.B. nicht temporär anhalten – blöd wenn ich eine Präsentation habe oder eine Videokonferenz und dann das Programm los legt.
    Fast alle scheitern bei der Behandlung von False-positives. Bisher habe ich noch keinen Scanner gefunden, der dem Benutzer ermöglicht schnell und einfach eine falsch erkannte Datei oder Webseite zu melden. Den Vogel schoß Avira ab, die für die Meldung zwingend den Upload einer Datei haben wollten – blöd wenn man die Falscheinstufung einer Webseite korrigieren will.

  11. @FriedeFreudeEierkuchen

    Bei der verlinkten AV-TEST Webseite hat Norton Internet Security 6 von 6 Punkten bei der Schutzwirkung. Schutz gegen Malware-Infektionen (wie Viren, Würmer oder trojanische Pferde) 100%. Insofern so schlecht ist das nicht.

    Norton läuft bei mir einwandfrei und macht keine Schweinereien wie Kaspersky. Insofern ist das auf jeden Fall eine deutliche Verbesserung.

  12. FriedeFreudeEierkuchen says:

    @sunworker: Wie geschrieben wechselt die Einstufung immer mal wieder, je nach Versionsstand der Virenscanner.
    Wie bist du mit der Bedienung zufrieden?
    Wie werden False-positives gehandhabt? Kann man Norton auch zeitweilig anhalten?

  13. @FriedeFreudeEierkuchen

    Bedienung ist gut, Kaspersky war optisch etwas besser. Finde ich aber unwichtig, solange es bedienbar ist. Abschalten geht einfach: rechte Maustaste und .Firewall deaktivieren (man wird nach Dauer in Minuten gefragt). Silent Mode ist auch einschaltbar.

    Keine Injektion in Webseiten. Add-On in Firefox ist nicht kompatibel mit FF 41.0.2.

    Insgesamt alles ok.

  14. False-positives hatte ich keine bisher. Keine Ahnung

  15. FriedeFreudeEierkuchen says:

    @sunworker: Danke für die Rückmeldung