Angeblich Zero-Day-Lücken in Sicherheitsprodukten von Kaspersky und FireEye gefunden

Wie der Sicherheitsexperte Graham Cluley in seinem Blog berichtet, haben Sicherheitsforscher am Wochenende unabhängig voneinander Schwachstellen in Produkten von zwei Security-Anbietern entdeckt, die durch Cyberkriminelle für Attacken ausgenutzt werden könnten. Namentlich handelt es sich hierbei um Kaspersky und FireEye.

Der bei Google angestellte Sicherheitsforscher Tavis Ormandy, der zuvor schon Anfälligkeiten in den Antivirenprodukten von Eset und Sophos ausnutzte, hatte die Zero-Day-Lücke in der Sicherheitssoftware von Kaspersky entdeckt. In seinem Tweet war von “einem System-Exploit” die Rede, der sich aus der Ferne und ohne vorheriges Zutun des Anwenders für Angriffe nutzen ließe. Der Google-Mitarbeiter selbst sei erfolgreich in dem Vorhaben gewesen, einen Exploit für die Lücke zu bauen. Daher seien auch Cyberkriminelle ohne Weiteres in der Lage, die Sicherheit eines Systems mit darauf installierter Kaspersky-Antivirensoftware zu kompromittieren. Um welche Software des russischen Sicherheitsunternehmens es sich genau handelte, ist indes nicht bekannt.

Der bei Google angestellte Sicherheitsforscher Tavis Ormandy will eine Zero-Day-Lücke in Antivirensoftware von Kaspersky entdeckt haben (Screenshot: Tavis Ormandy/Twitter).

Ormandy selbst ist gefürchtet und umstritten für seine öffentlichen Enthüllungen von Sicherheitslücken in den Produkten von Softwarefirmen. Seine Kritiker, zu denen im Übrigen auch Cluley zählt, werfen ihm vor, unschuldige Nutzer durch seine nicht mit den Software-Herstellern abgestimmten Offenlegungen von Schwachstellen unnötig in Gefahr zu bringen. Kriminelle hätten somit Zeit, eine publik gemachte Lücke auszunutzen, noch bevor der Anbieter in der Lage sei, die Nutzer mit einem Patch zu versorgen.

Cluley zufolge ist es in der Vergangenheit auch schon vorgekommen, dass Cyberkriminelle Einzelheiten zu den von Ormandy publik gemachten Sicherheitslecks für Angriffe missbraucht hätten.

In dem konkreten Fall der Kaspersky-Enthüllungen bemängelte Cluley zudem den von Ormandy gewählten Zeitpunkt seiner Offenlegungen. So machte er die Sicherheitslücken ausgerechnet kurz vor einem verlängerten Feiertagswochenende in den USA öffentlich, was die Bereitstellung eines Patches natürlich umso schwieriger gestaltet.

Nichtsdestotrotz hat Kaspersky bereits reagiert und inzwischen weltweit einen entsprechenden Fix für seine betroffenen Antivirenprodukte an die Nutzer ausgeliefert, wie Ormandy selbst mitgeteilt hat.

Wie Cluley unter Berufung auf CSO berichtet, hat wiederum ein weiterer Sicherheitsforscher namens Kristian Erik Hermansen – ebenfalls am vergangenen Wochenende – Sicherheitslücken in der Software des Security-Anbieters FireEye entdeckt und öffentlich gemacht.

Konkret hat Hermansen Details zu einer Zero-Day-Schwachstelle enthüllt, die – sofern sie ausgenutzt wird – es Dritten ermöglicht, Dateien unbefugt weiterzugeben. Sie steckt in einer FireEye-Appliance und erlaubt unautorisierten Fernzugriff auf das Dateisystem eines FireEye-Webservers. Letzterer ermöglicht laut Hermansen sogar den Zugang mit Administratorrechten.

Auch in diesem Fall wird jedoch kritisiert, dass der Sicherheitsforscher Proof-of-Concept-Code veröffentlicht hat, der veranschaulicht, wie sich mithilfe der Anfälligkeit ein Angriff auf das betroffene System initiieren lässt. Überdies habe er drei weitere Schwachstellen in dem FireEye-Produkt ausfindig gemacht, die angeblich schon auf dem Cyber-Schwarzmarkt zum Verkauf stehen sollen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Rainer Schneider

Zwischen September 2013 und Juni 2016 war Rainer zunächst als Volontär udn später als Redakteur hauptsächlich für ITespresso im Einsatz, schrieb aber gerne auch Artikel für silicon.de und ZDNet. Schwerpunkte waren IT-Security und Mobile.

Recent Posts

Fehlende Subventionen: Intel verschiebt Baubeginn seiner Chipfabrik in Ohio

Der US-Kongress streitet weiterhin über Details eines 52 Milliarden Dollar schweren Subventionspakets. Am Zeitplan für…

1 Tag ago

Microsoft informiert Nutzer von Windows 8.1 über nahendes Support-Ende

Ab Juli blendet das OS Benachrichtigungen ein. Der Support endet am 10. Januar 2023. Windows…

1 Tag ago

Graphcore und Aleph Alpha entwickeln gemeinsam multimodale KI-Modelle

Graphcore will bis 2024 den weltweit ersten ultraintelligenten KI-Computer bereitstellen.

2 Tagen ago

Apple führt mit iOS 16 Alternative zu CAPTCHA-Tests ein

Die sogenannten Private Access Tokens nutzen bereits auf einem Gerät vorhandene Daten. An der Entwicklung…

2 Tagen ago

Öffentliche und private Investitionen in Quantentechnologien steigen

McKinsey: Erste Profiteure der rasanten QT-Entwicklung sind voraussichtlich die Pharma-, Chemie-, Automobil- und Finanzindustrie.

2 Tagen ago

Was uns die Physik über datengetriebenes Marketing verrät

Datengetriebene Technologien wie Predictive Analytics eröffnen im digitalen Marketing neue Möglichkeiten, sagt PwC-Marketing-Experte Mathias Elsässer…

2 Tagen ago