Gotscha: Kaspersky Virusscanner ausgetrickst

Ich habe ja hier im Blog bereits öfters darüber berichtet, dass Fremdvirenscanner das größte Risiko auf Windows-Systemen darstellen. Nun gibt es den nächsten Fail: Der Kaspersky-Virenscanner lässt sich über kritische Sicherheitslücken austricksen.


Werbung

Tavis Ormandy vom Google-Projekt Zero beschreibt in diesem Blog-Post, wie man Kaspersky Antivirus (Version 15 und 16) über Sicherheitslücken angreifen und aushebeln kann. Die Schwachstelle sind wohl die Entpackungsfunktionen im Virenscanner, die Dateien in einer Sandbox zur Analyse entpacken. Eigentlich soll die Sandbox das Ausbrechen von Schadsoftware verhindern. Aber Fehler in der Sandbox bzw. in den Entpackroutinen ermöglichen Malware genau diese Isolation zu durchbrechen.


(Quelle: Google Projekt Zero)

Kaspersky scheint wohl Thinstall-Container von VMware zu verwenden. Der Virenscanner untersucht dann den Inhalt dieser Container. Da aber die /GS-Funktion des Compilers bei der Übersetzung des Quellcodes abgeschaltet war, gibt es keinen Schutz gegen Pufferüberläufe. Damit kann Schadcode einen Pufferüberlauf im Stack provozieren und Code mit Systemrechten ausführen lassen.

Und es kommt noch schlimmer: Es reicht, eine DLL-Datei an ein zu untersuchendes ZIP-Archiv anzuhängen, um den dort enthaltenen Schadcode vom Kasperky-Virenscanner ausführen zu lassen. Details zum Thema finden sich im oben verlinkten Blog-Post sowie in deutsch hier bei heise.de.

Ähnliche Artikel:
Windows 10: Welche Antivirus-Lösung soll ich einsetzen?
Comodo Antivirus killt Chrome 45-Browser per Code-Injection
Achtung Teffer: Deine Antivirus-Software als Sicherheitslücke?
AVAST: NG verursacht starke CPU-Last
Avast: Finger weg vom GrimeFighter
Dell Notebook trotz deinstalliertem Mc Afee extrem langsam …


Werbung



Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Kommentare zu Gotscha: Kaspersky Virusscanner ausgetrickst

  1. Sollten sich die Tester evtl. mal angewöhnen auch auf Alternate Streams zu prüfen?
    Laut Artikel soll das Problem ja gefixed sein.
    grüseles

  2. riedenthied sagt:

    Wusste ich doch gestern schon, dass du dich über dieses Thema wieder freuen wirst. 🙂

    • Günter Born sagt:

      Joa, diesbezüglich bin ich eine Dumpfbacke. Aber Scherz beiseite: Mir ist es wurscht, mit was die Leute sich ihre Systeme ruinieren. Nervig wird es lediglich, wenn die dann hilfesuchend in Foren einschlagen und dann auch noch beratungsresistent sind.

      Von daher gebe ich weiterhin den einsamen Rufer in der Wüste – damit niemand behaupten kann, keiner hätte was gesagt. Entscheiden tut der Anwender ja eh selbst ;-).

      • riedenthied sagt:

        Was mich mal generell interessieren würde: Was macht dich eigentlich so sicher, dass Microsofts Defender und Co. vor derartigen Lücken gefeit sind? Wenn man die monatlichen oder mittlerweile wöchentlichen Patchorgien bei Microsoft so anschaut, habe ich nicht den Eindruck, dass man da besser programmieren kann als bei allen anderen Software-Buden.

        • Günter Born sagt:

          @Riedenthied: Ich kann da niemals sicher sein. Aber die Frage geht am Kern vorbei. Meine Hoffnung war, dass die Botschaft ankommt und die Leute selbst nachdenken, bevor sie ein Fremdprodukt einsetzen. Dabei wäre es hilfreich, sich folgende Fragen zu beantworten:

          a) Was bringt mir ein Fremdprodukt objektiv gegenüber den Bordlösungen an verbesserter Sicherheit?
          b) Welche Sicherheitsmängel handele ich mir mit der Fremdlösung ein?
          c) Wie viel Leistung verbraucht die Fremdlösung?
          d) Welche Kollateralschäden verursacht die Fremdlösung und was muss ich tun, um diese zu umgehen?

          Auf keine dieser Fragen habe ich bisher Antworten von Leuten bekommen, die da von sich behaupten „ich setze xyz ein“. Und die AV-Testlabors gehen da imho auch nicht drauf ein, sondern beziehen 1/3 der GUI in die Wertung ein.

          Was ich aber zu wissen glaube: Die von Fremdherstellern häufig eingesetzten Lösungen wie Sandboxen zum Ausführen verdächtiger Dateien, Hacks des https-Stacks, um verschlüsselte Kommunikation mitzulesen etc. werden bei den MS Bordlösungen (bisher) nicht benutzt. Und genau an den Stellen hat es in der Vergangenheit immer geklemmt bzw. Kollateralschäden gegeben.

          Im verlinkten Beitrag (zur Frage, welchen Antivrenscanner man unter Windows 10 einsetzen soll) hatte ich zudem darauf hingewiesen, dass Windows 10 auf Basis „as a service“ kommt. Da wird alle paar Wochen das komplette Basissystem in überarbeiteter Form rauskommen. Ob es unter diesem Aspekt klug ist, auf eine Drittherstellerlösung zu setzen, die am System vorbei operiert?

          Die Fragen muss sich jeder selbst stellen und beantworten – und dann auf Basis dieser Antworten/Abwägungen seine Entscheidung treffen. Wenn diese für Hersteller xyz ausfällt, kann ich mit leben – solange die Leute nicht bei mir oder in MS Answers anklopfen und Hilfe für unerklärliche Probleme suchen, die durch solche AV/Security-Produkte verursacht werden.

          • riedenthied sagt:

            Die Fremdhersteller dürften meiner Meinung nach Zugang zu Entwicklerversionen von Windows haben, um ihre Produkte zu testen. Gerade jetzt war es noch nie so einfach, dank Windows 10 Insider Programm.

            Wie auch immer, die Sicherheitslösung ist immer nur gut, solange nichts passiert und da werden sich vermutlich keine verlässlichen Statistiken Fremdhersteller vs. Microsoft generieren lassen, da bekanntlich jeder PC und jeder User anders gestrickt ist.

            Mir fehlt jedenfalls der Glaube daran, dass die Microsoft-Lösung stabiler/sicherer/bessser/schneller/schöner ist, nur weil sich Microsoft angeblich am besten mit seinem Betriebssystem auskennt. Glaubt ernsthaft irgendjemand, dass da die gleichen Leute gleichzeitig am Kernel und am Defender rumprogrammieren? Andere Hersteller machen vor, dass es eben nicht so ist. Oracle zum Beispiel sollte sich bestens mit Java auskennen und seine Produkte super schnell für die neuesten Versionen kompatibel machen und zertifizieren. Pustekuchen, es gibt diverse Produkte (z.B. Oracle Weblogic), die auf steinalte und entsprechend anfällige Java-Versionen aufsetzen. Und da geht es wohlgemerkt um Profi-Software, die nicht für den Heimgebrauch gemacht ist. Software, mit der richtig dickes Geld gemacht wird.

          • riedenthied sagt:

            Ach übrigens noch ein paar Worte zu den AV-Tests, die du so gern anführst… Du bemerkst immer gern, dass zu 1/3 die GUI in die Bewertung einfließt. Mag sein, aber wer halbwegs bei Verstand ist, schaut genau darauf nicht. Sondern auf Erkennungsrate, Erkennungsrate, Erkennungsrate, Erkennungsrate, Erkennungsrate und Geschwindigkeit.

            Nun kenne ich die Marketing-Argumente auch, die Microsoft gern zum Besten gibt, wenn man sich mal wieder für seine miese Erkennungsrate rechtfertigen muss: Die meisten der Viren, auf die da getestet wird, kämen auf 99,99% (oder so ähnlich) der Rechner ja gar nicht vor. Soll ich was dazu sagen? Das beruhigt mich nicht im geringsten. Auf wieviel Milliarden Rechner ist ein Windows-System nochmal installiert? Da bedeuten 0,01% schnell mal einige Hundert Millionen Rechner, die mit diesem Zeug infiziert sind. Deshalb erwarte ich von einem guten Scanner, dass er so viel wie möglich fangen kann, was da draußen kreucht und fleucht.

          • riedenthied sagt:

            Ähm, ich habe jetzt noch zwei Finger mehr zum Rechnen benutzt. Es sind natürlich nur zweistellige Millionenanzahlen. 🙂 Es bleibt aber dabei: Dass Microsoft Viehzeug nicht finden kann oder will, was auf vielen Millionen Rechnern vorkommt, ist nicht gerade eine Beruhigungspille.

      • Ralf Lindemann sagt:

        Generell würde ich sagen: Wenn eines die Geschichte der IT-Sicherheit und der Antivirenprogrammen zeigt, dann dass es nie 100% Schutz geben wird, weder hinsichtlich des Schutzes vor Schadprogrammen noch hinsichtlich des Schutzes vor negativen Auswirkungen auf die Stabilität von Windows. Das wird generell auch für den Windows Defender gelten, der in Frage der Systemstabilität aber vermutlich immer die besseren Karten haben wird, weil er von Microsoft entwickelt wird und die ihr Betriebsystem einfach besser kennen als externe Software-Entwickler. Sollte es Microsoft aber gelingen, mit dem Windows Defender im Privatanwenderbereich einen hohen Marktanteil zu erzielen, muss man aber davon ausgehen, dass der Windows Defender spätestens dann zu einem bevorzugten Angriffsziel von Schadprogrammen werden wird. Und spätestens dann wird sich auch die Frage neu stellen, ob man mit dem Windows Defender ausreichend geschützt ist. Aktuell heißt das: Wer der Empfehlung von Günter folgt, macht nichts falsch, aber vieles richtig!

        • riedenthied sagt:

          Für mich ist es naiv zu glauben, „Microsoft“ (wer genau ist das eigentlich?) kenne sich am besten mit seinem Betriebssystem aus. Da arbeiten zig Tausend Programmierer. Wenn du bei einem sicher sein kannst: Die Defender-Programmierer haben mit den Programmierern des Betriebssystems rein gar nichts zu tun. Bestenfalls bekommen die etwas schneller ein paar Dokus für die APIs in die Hände.

          • Tim sagt:

            Nach der Logik ist es glatt ein Wunder das wir Menschen Autos, Züge und Flugzeuge bauen… oder noch etwas wilder gedacht, wie zusammengewürfelt ist die ISS mit ihren verschiedenen internationale Modulen?

  3. Charles sagt:

    Es sollte doch nun bald mal jedem Windows 10 Nutzer das Licht der Erkenntnis aufgehen,dass man solche AV Tools hier nicht mehr benötigt.

  4. Werbung

  5. Pingback: Virusprogramm

  6. Ingo sagt:

    Ich würde gerne den Defender nutzen. Die schlechten Erkennungsraten in vielen Testberichten machen mich doch sehr unsicher. Mir stellt sich weiterhin die Frage, warum es den Leuten bei Microsoft nicht gelingt, eine Verbesserung zu erreichen. Nach Lösung dieses Problems dürfte der Defender durchaus eine Alternative sein.

    • Tim sagt:

      Ingo warum bist Du unsicher?

      Wegen schlechter Erkennungsraten? Das sind reine Werbeversprechen.
      Mach dir bewusst, das egal welche Sicherheitslösung Du verwendest, Du Dir immer auch nen Virus oder Schadware einfangen kannst.
      Da nutz ich dann lieber was kleines was ins System passt, als so eine aufgepumpte Rundumlösung die nur sicher zu sein scheint, aber dafür ganz neue Probleme mitbringt, oder auch nur meinen Rechner, oder das Netzwerk ausbremst.

      Es geht nur um grundsätzlichen Schutz und du kannst davon ausgehen, das auch MS die Schadware, die häufig vorkommt, auch erkennen wird. Bei Exoten und seltenen Exemplaren kannst du Dir bei keinem Program sicher sein, das diese direkt erkannt werden. Egal was da irgendwer im Labor testet… Ich sag nur Labor, Test und Diesel!

      Und je nach Typ des Befalls hilft zum reinigen auch nur eine Neuinstallation, oder ein Backup, um sicher zu sein, das der Befall weg ist

      Bei Microsoft macht man deshalb nicht „mehr“, weil das eben reicht. Die müssen auch nicht davon Leben eine Schutzlösung zu bewerben und zu verkaufen.

      Meistens ist es eh der Benutzer selber, der die Schadware auf das System los lässt, über Mails, oder Downloads von schrägen Quellen. Oder wie in letzter Zeit über die ach so sicheren Stores…

      • Tim sagt:

        Zusatz: Überleg doch nur mal wie lange einige der bekannteren richtig großen Schadprogramme so aktiv waren, bevor sie überhaupt entdeckt wurden.

        War da nicht grad was in unserem Bundestag los, was studierte Spezialisten nicht kommen haben sehen und lange nicht bemerkt haben?
        Oder jobben da nur 1 Euro Kräfte?

        …ich kann mir nicht vorstellen, das die da nur auf den Defender gesetzt haben 😉 und deshalb so bloßgestellt wurden…

        • Ingo sagt:

          Ich habe den Fremdvirenschutz jetzt deinstalliert (die Lizenz war eh abgelaufen) und benutze jetzt den Defender. Ich bin überrascht wie schnell mein PC geworden ist. Die Internetseiten öffnen sich nunmehr nahezu verzögerungsfrei. Mir ist nicht ganz klar, warum in Testberichten der Defender als langsam bezeichnet wird. Vorerst bleibe ich mal dabei … mal schauen was draus wird. Jedenfalls spare ich Geld für eine neue Lizenz.

  7. Pingback: Maussteuerung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.