+43 699 / 18199463
office@itexperst.at

Forscher findet Schwachstellen in Antiviren-Produkten

Organisationen sollten ihre Antiviren-Programme vor dem Einsatz auf Sicherheit testen lassen, so Joxean Koret von COSEINC. Die Technologie kann unter Umständen dazu beitragen, die Angriffsfläche zu vergrößern.

COSEINC ist eine Sicherheitsfirma aus Singapur, die sich 17 größere Antiviren-Programme und -Produkte genauer angesehen hat. Dabei fand das Unternehmen 14 gefährliche lokal und aus der Ferne ausnutzbare Schwachstellen.

Aus Korets Analyse geht hervor, dass Antiviren-Unternehmen häufig viel zu breit angelegte Berechtigungen verlangen, Produktaktualisierung nicht signieren oder diese über unsichere HTTP-Server liefern. Auch laufen sie teilweise mit sehr alten Codes oder führen selbst keine angemessene Überprüfung von Quellcodes durch.

Er bezieht sich dabei unter anderem auf Avira, BitDefender, ESET und Panda. Die Forscher fanden verschiedene Schwachstellen, für die entweder später Patches verfügbar waren oder die weiterhin als Day-Zero-Schwachstelle bestehen. Einige können sogar aus der Ferne missbraucht werden.

Die meisten Antiviren-Programme kommen mit der Schutzmaßname Address Space Layout Randomisation. Viele andere Funktionen beinhalten jedoch weder die Benutzeroberflächen noch die Verzeichnisse. Einige der bekanntesten Produkte hatten Maßnahmen zur Vermeidung der Ausführung von Software deaktiviert.

Viele der Programme werden in C entwickelt, was zu Schwachstellen wie Buffer- und Integerüberlauf führt. Oder sie installierten Betriebssystemtreiber, die zu einer lokalen Privilegieneskalation führen und eine Liste von Dateiformaten generieren, die zu Bugs in den jeweiligen Parsern führen.

Je mehr Fähigkeiten ein Antiviren-Programm besitzt, desto mehr Angriffsfläche bietet es für Angreifer. Deshalb sollten Antiviren-Programme mit Zusatzfunktionen isoliert vom Rest des Unternehmensnetzwerks genutzt werden.

„Wenn die Anwendung mit den höchsten Berechtigungen läuft, Kerneltreiber installiert und versucht, alles zu überprüfen, was der Computer macht … dann ist die Angriffsfläche signifikant vergrößert“,

so Koret.

„Antiviren-Programme sind genauso anfällig für Day-Zero-Attacken wie die Programme, die sie schützen sollen.“

„Einige Antiviren-Unternehmen kümmern sich einfach zu wenig um die Sicherheit ihrer eigenen Produkte.“

Die weitläufigen Berechtigungen der Antiviren-Programme stellten oft einen Segen für Hacker dar. Mit dem Zugriff auf die Software konnten sie meist auch auf das System selbst zugreifen.
Ohne signierte Updates oder die Lieferung dieser über HTTPs könnten Hacker Man-in-the-Middle-Attacken gegen Antiviren-Nutzer starten und „deren Rechner komplett übernehmen“.

Artikel von syscan360.org: BreakingAVSoftware_JoxeanKoret

Artikel von theregister.co.uk, 29.07.2014: 14 antivirus apps found to have security problems

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen