Der Project Zero Forscher Tavis Ormandy von Google hat Lücken bei den verschiedenen Entpacker von Kaspersky aufgedeckt. Damit Virenscanner bestimmte Dateitypen untersuchen können, müssen sie diese oft entpacken. Meistens geschieht das in einer Sandbox. Mit ihr soll verhindert werden, dass der Schadcode ausbricht und beispielsweise den Virenscanner direkt infiziert. Laut Ormandy ist das aber viel zu oft der Fall.

Durch stark automatisiertes Fuzzing hat der Forscher eine Lücke im Umgang mit Thinstall-Containern von VMware entdeckt. Den Inhalt dieser VM-Images scannt Kaspersky. Bei der Übersetzung des Quellcodes haben die Entwickler die /GS-Funktion des Compilers deaktiviert gelassen und zudem andere Programmierfehler begangen. Dadurch kann Schadcode einen Pufferüberlauf im Stack auslösen und wird dann mit Systemrechten ausgeführt.

Durch einfaches Anhängen einer DLL an ein ZIP-Archiv konnte Ormandy den Kaspersky-Scanner dazu bringen, seinen Schadcode auszuführen. Wird die ZIP-Datei zum Scannen von Kaspersky geöffnet, führt Windows die schädliche DLL aus. Es wurden noch weitere Designfehler von Ormandy herausgefunden, hält diese Informationen allerdings noch zurück, da Kaspersky die entsprechenden Lücken noch nicht geschlossen hat. In aktuellen Versionen der Kaspersky-Produkte sind die vom Forscher veröffentlichten Sicherheitslücken nicht mehr vorhanden. Im Umgang mit den Lücken lobt Ormandy die Firma für ihr "rekordverdächtiges Tempo".

In Zukunft will der Project-Zero-Forscher weitere Virenscanner anderer Firmen untersuchen. Anitviren-Programme seien viel zu unsicher, kritisiert er. Durch die tiefe Verankerung im System und den notwendigen Kontakt mit Malware sei solche Software ein lukratives Ziel für Virenschreiber.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE