Auf kritische Sicherheitslücken in nahezu allen Antiviren-Produkten von Symantec und Norton ist der Security-Experte Tavis Ormandy von Googles Project Zero gestoßen. Davon sind die Windows-, Linux-, OS X- und UNIX-Versionen betroffen. Angreifer können über die Lücken ohne großen Aufwand Schadcode auf Computer schleusen und ganze Netzwerke kompromittieren.

Jeder, der ein entsprechendes Antiviren-Produkt installiert hat, ist bedroht, da die Schwachstellen bereits in den Standard-Konfigurationen existieren. Ormandy erläutert, dass Symantec zudem verwundbare Open-Source-Software in seiner Decomposer-Bibliothek einsetzt, die seit sieben Jahren nicht aktualisiert wurde.

Ormandy zufolge lassen sich einige der Antiviren-Produkte nicht automatisch aktualisieren. Eine Sicherheits-Warnung hat Symantec bereits veröffentlicht. In einer Liste wird aufgezeigt, welche AV-Produkte sich automatisch aktualisieren oder ob ein manuell zu installierender Hotfix bereitsteht.

Die Anwendungen laufen mit den höchstmöglichen Rechten, warnt Ormandy. Den verwundbaren Code führt Windows sogar im Kernel aus. So können Angreifer aus der Ferne Speicherfehler im Kernel provozieren. Root-Rechte können auf UNIX-Systemen immer noch erlangt werden. Über das Netzwerk oder das Internet können immer mehr Maschinen in Mitleidenschaft gezogen werden, da eine Infektion von Computer zu Computer springen kann.

Laut Ormandy können diese Lücken von Angreifern ausgenutzt werden, ohne dass ein Opfer etwas machen muss. Ein Angriff beginnt in der Regel mit dem Aufrufen einer präparierten Webseite oder dem Öffnen eines Datei-Anhangs mit Schad-Code. In diesem Fall reicht aufgrund der zentralen Position der AV-Software schon der Empfang einer E-Mail mit Schadcode im Datei-Anhang aus, um einen Angriff einzuleiten.

In der Engine der Antiviren-Produkte, die die Kompression von Malware-Entwicklern umkehrt, mit dem Angreifer ihren Schadcode verschleiern, findet sich die Ursache des Übels. Ein Viren-Scanner will über diese Methode schon im Vorfeld beurteilen, ob Gefahr von einer Datei ausgeht.

Das Problem betrifft die Auspack-Routinen für ASPack. Die Unpacker sollten in einer isolierten Sandbox laufen, empfiehlt Ormandy dem AV-Hersteller. Die Sicherheitsforscher haben in ihren Tests die Unpacker mit Datenpaketen von inkonsistenter Größe bombardiert und so einen Speicherfehler provoziert.

Mit einer bereitgestellten Test-Datei von Ormandy konnte dies Heise Security unter Windows 10 mit einem frisch installierten Norton Security Premium nachvollziehen.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE