Neues Sicherheitsleck in Kaspersky gefunden

Martin Schindler,

Auch die Produkte von AVG und McAfee sind von dem Problem betroffen. Ein Leck legt Speicheradressen einsehbar, wodurch bestimmte Sicherheitsfunktionen von Windows ausgehebelt werden können. Sämtliche Anbieter haben ihre Produkte bereits aktualisiert.

Sicherheitslösungen von Kaspersky, AVG und McAfee weisen ein Leck auf, das auf Windows-Systemen Angriffe erlaubt. Durch die Produkte können Sicherheitsfunktionen wie Adress Space Layout Randomization (ASLR) oder Data Execution Prevention (DEP) ausgehebelt werden. Die Anbieter haben die Sicherheitslücken in ihren Produkten bereits geschlossen. Entdeckt wurden die Lecks von dem Sicherheitsunternehmen Ensilo. Das IT-Sicherheitsunternehmen geht jedoch davon aus, dass auch Software anderer Hersteller und damit möglicherweise Millionen Nutzer betroffen sind.

Sicherheitslecks in SAP HANA-Systemen

Entdeckt wurde die Schwachstelle erstmals im März 2015 in AVG Internet Security 2015 Build 5736. “Eine Untersuchung unserer Forscher enthüllte einen Fehler in AVG, der es einem Angreifer erlaubte, eine beliebige alte Anfälligkeit in einer Drittanwendung wie Acrobat Reader auszunutzen, um ein Windows-System zu kompromittieren”, erklärt Tomer Bitton, Vice President of Research bei Ensilo, in einem Blog. AVG habe das Leck innerhalb von zwei Tagen gestopft.

Antivirusprodukte nutzen Speicherseiten mit der Berechtigung zum Lesen, Schreiben und Ausführen von Code mit konstanten und vorhersehbaren Adressen. Die Zuteilung erfolge für verschiedene Prozesse von Drittanbieteranwendungen wie Browsern und Adobe Reader. Das wiederum mache die Windows-Sicherheitsfunktionen ASLR und DEP unbrauchbar und erleichtere es einem Angreifer, Sicherheitslücken in Drittanwendungen auszunutzen.

Ensilo hat nach eigenen Angaben ein Tool entwickelt, das Software anderer Anbieter auf die Sicherheitslücke testet. Dabei hätten sich McAfee Virus Scan Enterprise Version 8.8 und Kaspersky Total Security 2015 Version 15.0.2.361 als anfällig herausgestellt. McAfee habe am 20. August einen Fix veröffentlicht, Kaspersky am 24. September.

Allerdings liefert das Tool keine direkten Ergebnisse, sondern nur Hinweise auf die betroffenen Prozesse, die mit einer vorhersehbaren Speicheradresse ausgeführt werden. Ensilo weist darauf hin, dass das Tool Browser benutzt, um die Anfälligkeit auf einem System zu finden – der Fehler stecke allerdings nicht im Browser. Mehr Informationen zur Nutzung des Tools gibt es auf der Ensilo-Website.

Schon im September hatte Tavis Ormandy von Googles Project Zero Details zu schwerwiegenden Sicherheitslücken in der Antivirensoftware von Kaspersky enthüllt. Betroffen waren damals die Versionen 15 und 16 von Kaspersky Antivirus. Ormandy habe bei seinen Versuchen gezeigt, dass solche Lücken nicht nur theoretisch, sondern auch in der Praxis ausgenutzt werden könnten, ergänzte Bitton.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de