Angeblich Zero-Day-Lücken in Sicherheitsprodukten von Kaspersky und FireEye gefunden

Wie der Sicherheitsexperte Graham Cluley in seinem Blog berichtet, haben Sicherheitsforscher am Wochenende unabhängig voneinander Schwachstellen in Produkten von zwei Security-Anbietern entdeckt, die durch Cyberkriminelle für Attacken ausgenutzt werden könnten. Namentlich handelt es sich hierbei um Kaspersky und FireEye.

Der bei Google angestellte Sicherheitsforscher Tavis Ormandy, der zuvor schon Anfälligkeiten in den Antivirenprodukten von Eset und Sophos ausnutzte, hatte die Zero-Day-Lücke in der Sicherheitssoftware von Kaspersky entdeckt. In seinem Tweet war von “einem System-Exploit” die Rede, der sich aus der Ferne und ohne vorheriges Zutun des Anwenders für Angriffe nutzen ließe. Der Google-Mitarbeiter selbst sei erfolgreich in dem Vorhaben gewesen, einen Exploit für die Lücke zu bauen. Daher seien auch Cyberkriminelle ohne Weiteres in der Lage, die Sicherheit eines Systems mit darauf installierter Kaspersky-Antivirensoftware zu kompromittieren. Um welche Software des russischen Sicherheitsunternehmens es sich genau handelte, ist indes nicht bekannt.

Der bei Google angestellte Sicherheitsforscher Tavis Ormandy will eine Zero-Day-Lücke in Antivirensoftware von Kaspersky entdeckt haben (Screenshot: Tavis Ormandy/Twitter).

Ormandy selbst ist gefürchtet und umstritten für seine öffentlichen Enthüllungen von Sicherheitslücken in den Produkten von Softwarefirmen. Seine Kritiker, zu denen im Übrigen auch Cluley zählt, werfen ihm vor, unschuldige Nutzer durch seine nicht mit den Software-Herstellern abgestimmten Offenlegungen von Schwachstellen unnötig in Gefahr zu bringen. Kriminelle hätten somit Zeit, eine publik gemachte Lücke auszunutzen, noch bevor der Anbieter in der Lage sei, die Nutzer mit einem Patch zu versorgen.

Cluley zufolge ist es in der Vergangenheit auch schon vorgekommen, dass Cyberkriminelle Einzelheiten zu den von Ormandy publik gemachten Sicherheitslecks für Angriffe missbraucht hätten.

In dem konkreten Fall der Kaspersky-Enthüllungen bemängelte Cluley zudem den von Ormandy gewählten Zeitpunkt seiner Offenlegungen. So machte er die Sicherheitslücken ausgerechnet kurz vor einem verlängerten Feiertagswochenende in den USA öffentlich, was die Bereitstellung eines Patches natürlich umso schwieriger gestaltet.

Nichtsdestotrotz hat Kaspersky bereits reagiert und inzwischen weltweit einen entsprechenden Fix für seine betroffenen Antivirenprodukte an die Nutzer ausgeliefert, wie Ormandy selbst mitgeteilt hat.

Wie Cluley unter Berufung auf CSO berichtet, hat wiederum ein weiterer Sicherheitsforscher namens Kristian Erik Hermansen – ebenfalls am vergangenen Wochenende – Sicherheitslücken in der Software des Security-Anbieters FireEye entdeckt und öffentlich gemacht.

Konkret hat Hermansen Details zu einer Zero-Day-Schwachstelle enthüllt, die – sofern sie ausgenutzt wird – es Dritten ermöglicht, Dateien unbefugt weiterzugeben. Sie steckt in einer FireEye-Appliance und erlaubt unautorisierten Fernzugriff auf das Dateisystem eines FireEye-Webservers. Letzterer ermöglicht laut Hermansen sogar den Zugang mit Administratorrechten.

Auch in diesem Fall wird jedoch kritisiert, dass der Sicherheitsforscher Proof-of-Concept-Code veröffentlicht hat, der veranschaulicht, wie sich mithilfe der Anfälligkeit ein Angriff auf das betroffene System initiieren lässt. Überdies habe er drei weitere Schwachstellen in dem FireEye-Produkt ausfindig gemacht, die angeblich schon auf dem Cyber-Schwarzmarkt zum Verkauf stehen sollen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Rainer Schneider

Zwischen September 2013 und Juni 2016 war Rainer zunächst als Volontär udn später als Redakteur hauptsächlich für ITespresso im Einsatz, schrieb aber gerne auch Artikel für silicon.de und ZDNet. Schwerpunkte waren IT-Security und Mobile.

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

1 Tag ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

1 Tag ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago