Angeblich Zero-Day-Lücken in Sicherheitsprodukten von Kaspersky und FireEye gefunden

Hacker (Bild: Shutterstock)

Zwei Sicherheitsforscher haben sie am Wochenende unabhängig voneinander entdeckt. Google-Mitarbeiter Tavis Ormandy hat einen Exploit in Antivirenprodukten von Kaspersky gefunden, Kristian Erik Hermansen eine Lücke in einer FireEye-Appliance.

Wie der Sicherheitsexperte Graham Cluley in seinem Blog berichtet, haben Sicherheitsforscher am Wochenende unabhängig voneinander Schwachstellen in Produkten von zwei Security-Anbietern entdeckt, die durch Cyberkriminelle für Attacken ausgenutzt werden könnten. Namentlich handelt es sich hierbei um Kaspersky und FireEye.

Der bei Google angestellte Sicherheitsforscher Tavis Ormandy, der zuvor schon Anfälligkeiten in den Antivirenprodukten von Eset und Sophos ausnutzte, hatte die Zero-Day-Lücke in der Sicherheitssoftware von Kaspersky entdeckt. In seinem Tweet war von “einem System-Exploit” die Rede, der sich aus der Ferne und ohne vorheriges Zutun des Anwenders für Angriffe nutzen ließe. Der Google-Mitarbeiter selbst sei erfolgreich in dem Vorhaben gewesen, einen Exploit für die Lücke zu bauen. Daher seien auch Cyberkriminelle ohne Weiteres in der Lage, die Sicherheit eines Systems mit darauf installierter Kaspersky-Antivirensoftware zu kompromittieren. Um welche Software des russischen Sicherheitsunternehmens es sich genau handelte, ist indes nicht bekannt.

Kaspersky_Exploit (Screenshot: Tavis Ormandy/Twitter)
Der bei Google angestellte Sicherheitsforscher Tavis Ormandy will eine Zero-Day-Lücke in Antivirensoftware von Kaspersky entdeckt haben (Screenshot: Tavis Ormandy/Twitter).

Ormandy selbst ist gefürchtet und umstritten für seine öffentlichen Enthüllungen von Sicherheitslücken in den Produkten von Softwarefirmen. Seine Kritiker, zu denen im Übrigen auch Cluley zählt, werfen ihm vor, unschuldige Nutzer durch seine nicht mit den Software-Herstellern abgestimmten Offenlegungen von Schwachstellen unnötig in Gefahr zu bringen. Kriminelle hätten somit Zeit, eine publik gemachte Lücke auszunutzen, noch bevor der Anbieter in der Lage sei, die Nutzer mit einem Patch zu versorgen.

Cluley zufolge ist es in der Vergangenheit auch schon vorgekommen, dass Cyberkriminelle Einzelheiten zu den von Ormandy publik gemachten Sicherheitslecks für Angriffe missbraucht hätten.

In dem konkreten Fall der Kaspersky-Enthüllungen bemängelte Cluley zudem den von Ormandy gewählten Zeitpunkt seiner Offenlegungen. So machte er die Sicherheitslücken ausgerechnet kurz vor einem verlängerten Feiertagswochenende in den USA öffentlich, was die Bereitstellung eines Patches natürlich umso schwieriger gestaltet.

Nichtsdestotrotz hat Kaspersky bereits reagiert und inzwischen weltweit einen entsprechenden Fix für seine betroffenen Antivirenprodukte an die Nutzer ausgeliefert, wie Ormandy selbst mitgeteilt hat.

Wie Cluley unter Berufung auf CSO berichtet, hat wiederum ein weiterer Sicherheitsforscher namens Kristian Erik Hermansen – ebenfalls am vergangenen Wochenende – Sicherheitslücken in der Software des Security-Anbieters FireEye entdeckt und öffentlich gemacht.

Konkret hat Hermansen Details zu einer Zero-Day-Schwachstelle enthüllt, die – sofern sie ausgenutzt wird – es Dritten ermöglicht, Dateien unbefugt weiterzugeben. Sie steckt in einer FireEye-Appliance und erlaubt unautorisierten Fernzugriff auf das Dateisystem eines FireEye-Webservers. Letzterer ermöglicht laut Hermansen sogar den Zugang mit Administratorrechten.

Auch in diesem Fall wird jedoch kritisiert, dass der Sicherheitsforscher Proof-of-Concept-Code veröffentlicht hat, der veranschaulicht, wie sich mithilfe der Anfälligkeit ein Angriff auf das betroffene System initiieren lässt. Überdies habe er drei weitere Schwachstellen in dem FireEye-Produkt ausfindig gemacht, die angeblich schon auf dem Cyber-Schwarzmarkt zum Verkauf stehen sollen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de