heise online Logo
Anmelden
Menü
  • c't – Magazin für Computertechnik
  • iX – Magazin für professionelle Informationstechnik
  • MIT Technology Review – Das Magazin für Innovation von Heise
  • c't Fotografie - Das Magazin rund ums digitale Bild
  • Mac & i – Nachrichten, Tests, Tipps und Meinungen rund um Apple
  • Make – Kreativ mit Technik
  • Alle Magazine im Browser lesen
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise Shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige Go! Schule morgen
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security Logo
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Hintergrund
  3. Antiviren-Software als Einfallstor

Antiviren-Software als Einfallstor

Hintergrund 20.12.2007 14:37 Uhr Jürgen Schmidt

In so gut wie allen Antivirus-Produkten wurden dieses Jahr kritische Scwachstellen gefunden. Die Gefahr, dass ausgerechnet die Schutzsoftware zum Einfallstor für Schädlinge mutiert, wird jedoch immer noch weitgehend unterschätzt.

Antiviren-Software ist nicht nur der wichtigste Schutz vor Schädlingen aus dem Internet, sie könnte auch eines der gefährlichsten Einfallstore für Angreifer und Schad-Software werden. Denn sie läuft nicht nur auf jedem Desktop-System sondern auch auf vielen Servern und hantiert ständig mit potenziell bösartigen Dateien. Eine Sicherheitslücke an dieser Stelle kann somit katastrophale Folgen haben.

In einem Vortrag auf der Hack.lu 2007 kritisierten Sergio Alvarez und Thierry Zoller mangelhafte Sicherheitsvorkehrungen insbesondere bei Antiviren-Software. Die beiden Sicherheitsspezialisten von n.runs wissen, wovon sie reden, haben sie doch allein 2007 rund 30 Sicherheitsnotizen zu teilweise kritischen Sicherheitsproblemen in AV-Software veröffentlicht und nach eigenen Angaben circa 800 Probleme an die Hersteller weitergeleitet.

Das zentrale Problem sehen Alvarez und Zoller darin, dass Sicherheits-Software in vielen Köpfen quasi per Definition als sicher erachtet wird. So sehen Anwender und auch die Hersteller von AV-Software die schlimmste Gefahr darin, dass ein Produkt einen Virus übersieht. Die größere, dass Antiviren-Software selbst zum Einfallstor wird, lassen die meisten völlig außer Acht. So hat kaum eine Firma Vorkehrungen gegen ein Angriffsszenario getroffen, bei dem beispielsweise ein Schädling über eine Sicherheitslücke im Antiviren-Scanner den Mail-Server übernimmt, beklagt Zoller. Andreas Marx von AV-Test bestätigt: "Das Thema 'Sicherheit der eigenen Produkte' scheint kaum ein Hersteller wirklich ernst zu nehmen."

Dass das Problem real ist, beweist die endlos lange Liste von kritischen Sicherheitsproblemen, die in den letzten Jahren in Antiviren-Software entdeckt wurden. Viele davon ermöglichten tatsächlich das Einschleusen und Ausführen von Code beispielsweise durch eine speziell präparierte E-Mail.

Ein Schwachpunkt sind vor allem die vielfältigen Formate, die ein AV-Scanner untersuchen und auswerten muss. Dabei kommt oft uralter Code zum Einsatz, der dann selbst nach dem Bekanntwerden von Sicherheitslücken nicht überarbeitet wird. Bestes Beispiel: Erst vor wenigen Wochen entdeckte Stefan Kanthak, dass der Scanner von BitDefender eine zlib-Bibliothek einsetzte, die noch aus dem Jahr 1998 stammt und natürlich auch einen kritischen Fehler enthielt, der sich zum Einschleusen von Code ausnutzen ließ.

Oder aber die Hersteller reagieren auf neue Techniken und stricken zum Beispiel mit heißer Nadel "mal eben schnell" einen Entpacker für einen gerade aufgetauchten EXE-Packer. Dabei stehen die Entwickler unter extremem Zeitdruck, für ausgiebige Tests bleibt da kaum Zeit. Und was dabei dann rauskommt, kann man sich leicht ausmalen.

Die Liste der Hersteller von AV-Software mit kritischen Sicherheitsproblemen liest sich wie ein Who-is-Who der Branche: Auf der Abschussliste von Zoller und Alvarez finden sich unter anderem Avast, Avira, BitDefender, CA, ClamAV, Eset NOD32, F-Secure, Grisoft AVG, Norman, Panda und Sophos. In Kasperskys Scanner, in McAfees VirusScan und in Trend Micros Sicherheitsprodukten hat iDefense kritische Pufferüberläufe aufgedeckt, bei Symantecs Mail Security war es Secunia und Microsofts Sicherheitsprodukte erwischte die ISS/IBM XForce. Alles in diesem Jahr und die Liste ist keineswegs vollständig; allein die n.runs-Spezialisten geben an, über 80 kritische Lücken entdeckt und an die Hersteller weiter gereicht zu haben. Geschlossen wurden nach ihrem Kenntnisstand davon bislang nur etwa 30.

Die Mehrzahl solcher Probleme bügeln die Hersteller über die automatische Update-Funktion still und heimlich aus, ohne viel Aufhebens darum zu machen. So bestätigte Marx gegenüber heise Security, dass er und sein Team allein dieses Jahr circa dreißig Pufferüberläufe in AV-Produkten an deren Hersteller gemeldet haben. Zu keinem einzigen habe es ein offizielles Advisory gegeben.

Ein Ende der kritischen Sicherheitslücken ist dabei noch längst nicht in Sicht. So haben die Sicherheitsdienstleister eEye und die Zero Day Initiative noch reihenweise kritische Lücken bei den Herstellern von Sicherheitssoftware in der Queue. Das bedeutet, dass für diese Lücken bereits funktionierende Exploits existieren. Auch Alvarez und Zoller reden von der Spitze eines Eisbergs und prophezeien, dass die Situation in nächster Zeit eher schlimmer als besser wird.

Eine schnelle und einfache Lösung gibt es nicht. Administratoren könnten zwar versuchen, den Problemherd auf Servern dadurch zu isolieren, dass sie Viren-Scanner mit minimalen Rechten in einer möglichst eingeschränkten Umgebung ausführen. Doch über Web-Seiten, Downloads und E-Mails erreicht potenzieller Schadcode auch die Desktop-Systeme, wo das nicht ohne weiteres möglich ist. n.runs will demnächst mit einer neue Technik namens ParsingSafe in die Bresche springen; über die ist jedoch bislang nicht viel mehr als der Name bekannt.

Eine grundsätzliche Lösung kann nur langfristig ansetzen, und erfordert, dass die Hersteller von Sicherheits-Software anfangen, ihre Produkte an den Maßstäben zu messen, die in anderen sicherheitsrelevanten Bereichen längst als selbstverständlich vorausgesetzt werden. Dazu gehören konkrete Risikoanalysen und sichere Entwicklungstechniken aber auch Code Reviews und Penetrationtests beispielsweise mit Fuzzing.

"Wahrscheinlich müsste man dazu die meisten AV-Scanengines neu strukturieren und komplett neu schreiben" lautet die ernüchternde Bilanz von Andreas Marx. Die Programme seien bisher immer nur gewachsen und gewachsen und bauen zum Teil auf Ansätzen und Routinen auf, die schon vor 5, 10 oder 15 Jahren entwickelt wurden. Es sind immer nur neue Sachen hinzugekommen, der große Schnitt wurde nicht gemacht.

Zoller und Marx sind sich einig, dass im Grunde nur ein Secure Software Development Life Cycle derartige Probleme nachhaltig aus der Welt schaffen könnte. Doch die AV-Hersteller haben immer noch extreme Wachstumsraten zu verzeichnen und somit keinen Grund für einschneidende Veränderungen. Den Schlüssel dazu hält der Kunde in der Hand. So könnte der seine nächste Kaufentscheidung nicht nur von Preis und Erkennungsrate abhängig machen, sondern auch davon, ob die Software einen solchen sicheren Entwicklungszyklus durchlaufen hat. (ju)

Forum bei heise online: Viren & Würmer

Teile diesen Beitrag
https://heise.de/-270932 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Atlassian Jira

Zimbra / unrar

Dell EMC PowerScale OneFS

Citrix Hypervisor

Anzeige
  • Kundenservice mit künstlicher Intelligenz
  • Join the fundrace. Support open source!
  • Einheitliche Überwachung für hybride Clouds
  • File Sharing im Job ohne Sicherheitsrisiko
  • Wie IT zu nachhaltigem Wirtschaften beitragen kann
Artikel

Utimaco, der Krypto-Miner und ein Disclosure-Desaster​

Auch Anbieter von Hochsicherheitslösungen sind vor Securityproblemen nicht gefeit. Man sollte sich vorbereiten, bevor man davon erfährt, sagt Jürgen Schmidt.

12 Kommentare
Aufmacher: Kommentar Welt-Passwort-Gedenktag

Kommentar: "Willkommen zum Welt-Passwort-Gedenktag"

Welt-Passwort-Tag: Jürgen Schmidt, Senior Fellow Security bei Heise, hat einen Kommentar aus einer Zukunft ohne Passwörter geschickt.

230 Kommentare
  • Passwortsicherheit – Alles, was Sie wissen müssen
  • Welt-Passwort-Tag: Zugangssicherheit im Fokus

Der Patch-Alptraum: Wenn schnell nicht schnell genug ist

Neben den überbewerteten Zero-Day-Lücken gibt es eine weniger bekannte Bedrohung durch "Beinahe-Zero-Days". Die sind weitverbreitet und brandgefährlich.

95 Kommentare

Neueste Forenbeiträge

  1. Re: Maus / Tastatur nicht erkannt
    Das ist hier ( und auch indem anderen Thread) nicht gemeint. Unter grub funktioniert die Tastatur. Es lässt sich in dessen Kommandozeile auch…

    Forum:  Desinfect

    wolf_st hat keinen Avatar
    von wolf_st; vor 2 Stunden
  2. Re: Umwandlung des Stick scheitert
    Ich habe genau dasselbe Problem auf zwei unterschiedlichen Rechnern und mit mehreren USB-Sticks. Die Umwandlung schlägt fehl und hinterlässt…

    Forum:  Desinfect

    Awiso hat keinen Avatar
    von Awiso; vor 4 Stunden
  3. Re: Desinfect läuft nicht auf Lenovo ThinkPad X1 Extreme G2! Abhilfe möglich?
    Sorry wegen der fehlenden Rückmeldung - ich wollte kein Ghosting betreiben. Eine Virusinfektion des Layer 8 "Noro" hatte mich ausgeknockt.

    Forum:  Desinfect

    fhw72 hat keinen Avatar
    von fhw72; vor 14 Stunden
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
  • Datenschutz
  • Cookies & Tracking
  • Impressum
  • Kontakt
  • Barriere melden
  • Mediadaten
  • Verträge kündigen
  • 245532
  • Content Management by InterRed
  • Hosted by Plus.line
  • Copyright © 2022 Heise Medien