Symantec patzt: AV-Produkte unsicher!

In allen Sicherheitsprodukten von Symantec, also auch in der Norton Antivirus/Internet Security Line klafft eine kritische Sicherheitslücke. Updates sind bereits verfügbar. Nachtrag: Es kommen jetzt Details ans Licht.


Werbung



Es gab von mir mal eine flapsige Bemerkung, dass die größte Bedrohung für die Sicherheit eines Anwender-PCs die verwendete Antivirus-Lösung sei. Rief teilweise heftige Proteste hervor. Aber die Bemerkung basierte auf der Beobachtung, dass die AV-Hersteller immer wieder patzten und Sicherheitslücken aufrissen – oder Windows auf’s Kreuz legten.

Ein Tweet bringt das Ganze ins Rollen

Nun hat Tavis Ormandy, Sicherheitsspezialist bei Google, gestern Nacht einen Tweet veröffentlicht, in dem er auf ein fettes Sicherheitsproblem in den Symantec-Sicherheitsprodukten hinweist.

Laut Ormandy soll ein Update per Live Update im Laufe des Tages (also gestern) herauskommen. Nachtrag: Bisher sind nicht alle Baustellen durch Updates geschlossen. Betroffen sind alle Plattformen (Windows, OS X und Linux). Bei heise.de geht dieser Artikel noch ein wenig auf das Thema ein. Warum ich generell Bauchschmerzen bei den Fremd-AV-Lösungen habe, wurde im Blog-Beitrag Windows 10: Welche Antivirus-Lösung soll ich einsetzen? thematisiert.

Ein paar Details werden bekannt

Bei ZDNet.com geht man in diesem Artikel auf Probleme unter Windows ein. Problem: Die AV-Engine (oder besser der Filtertreiber) läuft im Kernel von Windows (oder anderer Betriebssysteme) mit. Jedes Problem in dieser AV-Engine kippt damit das Betriebssystem – ist so by design.

Und die Symantec Antivirus Engine hat eine echtes Problem: Bereits beim Parsen eines präparierten Portable-Executable (PE) Header Files kann ein Buffer Overflow auftreten. Ein Buffer Overflow im Kernel endet dann unter Windows in einem Blue Screen – Stop-Fehler 0x50 – (nicht der erste bei AV-Produkten).

BSOD Symantec
(Quelle: Google)

Tavis Ormandy hat seine Analyse, teilweise mit einem Debug-Log in diesem Google-Dokument veröffentlicht. Und einige Details sind besonders pikant.


Werbung

On Linux, Mac and other UNIX platforms, this results in a remote heap overflow as root in the Symantec or Norton process. On Windows, this results in kernel memory corruption, as the scan engine is loaded into the kernel (wtf!!!), making this a remote ring0 memory corruption vulnerability – this is about as bad as it can possibly get.

Das sind dann die Stellen, wo ich mit obiger Theorie von der größten Sicherheitslücke auf Anwendersystemen einschlage. Das ist ja nicht das erste Mal, dass genau so etwas passiert.

Stoppeln auf hohem Niveau …

Und der weitere Verlauf zeigt, wie da gestoppelt wird. Tavis Ormandy hat versucht, seine Entdeckung an Symantec zu senden. Dazu schicken die Sicherheitsforscher üblicherweise eine Mail an einen Symantec Mail-Server. Ormandy schreibt:

think Symantec’s mail server guessed the password “infected” and crashed (this password is commonly used among antivirus vendors to exchange samples), because they asked if they had missed a report I sent.

They had missed the report, so I sent it again with a randomly generated password.

Offenbar ist seine erste Mail bei Symantec nicht angekommen. Er vermutet, dass der Mail-Server das Passwort “infected” beim Mailempfang angenommen habe und dann abgestützt sei. Dieses Passwort wird standardmäßig von Sicherheitsforschern verwendet, um Samples auszutauschen. Er musste dann die Samples mit einem zufällig generierten Kennwort versenden, damit Symantec diese erhielt. Ich glaube, bald sind wir so weit, dass solche Samples per reitendem Boten überbracht werden müssen.

Symantec hat ein Security Advisory zum PE-Parsing-Fehler freigegeben. Pfingstmontag wurde ein Fix per Live Update von Symantec verteilt, so dass diese Lücke geschlossen sein dürfte.

Ähnliche Artikel
Comodo: Sicherheitsdesaster beim Chromodo-Browser
Comodo Antivirus killt Chrome 45-Browser per Code-Injection
Neues SSL-Problem: Comodo liefert ‚Adware‘ Privdog aus
Kollateralschaden: NOD32 Antivirus 9 killt ggf. htts-Encryption
Sicherheitslücke in Trend Micro-Schutzsoftware
Sicherheitslücke in Symantec Endpoint Protection
Sicherheitslücke in Sophos UTM

Windows 10: Welche Antivirus-Lösung soll ich einsetzen?
Windows 10: Vorsicht bei Bitdefender Internet Security 2015


Werbung

Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Kommentare zu Symantec patzt: AV-Produkte unsicher!

  1. Cimba sagt:

    Ich will gar nicht erst in eine AV Diskussion einsteigen und finde auch Berichte, wo AV Programme Sicherheitslücken aufweisen, sinnvoll und gut, aber ich verstehe ehrlich gesagt den immer wieder leicht lästernden und warnenden Unterton dabei nicht.

    So oft kommen Sicherheitslücken in den einzelnen AV Programmen nun auch nicht vor und Windows (und zahlreiche, andere Programme) beinhaltet ja JEDEN Monat zahlreiche Sicherheitslücken, somit müsste man im Ergebnis vor Windows selbst deutlich mehr warnen, als vor AV Programmen, die ihre Sicherheitslücken auch noch deutlich flotter beseitigen.

    • Der leicht lästernde Unterton kommt daher, dass ich als Communitymoderator den Leuten mühsam helfe, einen durch AV-Software produzierten Windows-Fehler zu beseitigen. Und kaum hat man die Kuh vom Eis, verkündet der Nutzer stolz, dass er sich das nächste Produkt (meist noch als Free-Variante) auf den Rechner holt. Wenn man dann noch einwirft, dass Windows den Defender an Bord hat, wird man belehrt, dass der nix taugt, weil er in “allen Tests so schlecht abschneide” und man seit Jahren zur Zufriedenheit mit Produkt xyz arbeite …

      Schaut man die Architektur mancher AV-Lösungen an, sind die so kaputt, dass man nicht mal mit der Kneifzange da ran will. Aber Hauptsache, eine blinkende und bunte Oberfläche signalisiert, dass x Bedrohungen abgewehrt werden. Aber wozu mache ich mir eigentlich die Mühe, das hier aufzuschreiben …

      • sandy sagt:

        Bitte nicht ärgern, lieber Herr Born! Ihre Berichte sind immer interessant und hilfreich. Man kann unmöglich bei Jedem auf die gleiche Begeisterung oder Meinung stoßen.
        Frage: Wird das Update über Windows oder die Antivirensoftware selbst ausgeliefert?
        Ganz liebe Grüße

        • Ich glaube, ich ärgere mich selten – sondern bin eigentlich immer noch mit Begeisterung am Bloggen (auch wenn ich mir spitze Bemerkungen – quasi als Salz in der Suppe – nicht verkneifen kann). Wie schreibt René Hesse von Mobiflip.de über sich: Hausmeister des Blogs – und das bin ich auch, sogar mit Narrenfreiheit ;-).

          Zur Frage: Windows Update bezieht sich ausschließlich auf Microsoft-Produkte. Norton muss über eigene Update-Funktionen aktualisieren.

      • Ralf Lindemann sagt:

        Fairerweise muss man sagen: Für normale Anwender ist es schwierig, sich bei AV-Produkten eine eigene Meinung zu bilden. Es gibt viele Informationen, viele Expertenmeinungen (gerne auch der widersprechenden Art…) und dann die bekannten AV-Tests, bei denen ich mich immer frage, inwieweit die unter Laborbedingungen ermittelten Testergebnisse auf Real-Systeme, die in der freien Wildbahn unterwegs sind, übertragbar sind… Ja, und die Stiftung Warentest hat sich im April auch mit einem Test zu Wort gemeldet: Hier sind alle kostenlosen Antivirus-Lösungen (inklusive der von Microsoft) mit allenfalls mittelmäßigen Erkennungsraten durchgefallen. Nicht empfehlenswert. Ich meine, meine persönliche Erfahrung spiegelt sich in dem Testergebnis nicht, und ohne Frage spricht auch Stiftung Warentest nicht ex cathedra, aber was macht man jetzt mit so einer Information: Nicht zur Kenntnis nehmen und am (durchgefallenen) AV-Produkt des eigenen Vertrauens festhalten?

        Testsieger waren bei Stiftung Warentest im übrigen BullGard und GDATA. – Die Redaktion „Service Computer“ von WDR 5 hat den Testbericht von Stiftung Warentest vorgestellt. Titel: „Keinen ungeschützten Datenverkehr – Was bei Anti-Viren-Paketen wichtig ist“. Wer sich dafür interessiert, findet den Podcast hier: http://www1.wdr.de/mediathek/audio/wdr5/wdr5-leonardo-service-computer/index.html

      • Kai Gerdes sagt:

        Komisch ist ja auch das der erste Poster sich dann nicht wieder zu Wort meldet ;). Und der vergleich hinkt etwas, das Windows & Co ja auch Sicherheitslücken haben. Genau dafür sollte doch zB eine Internet Security Suite sein mit Firewall und allem drum und dran um eben an den Stellen wo angegriffen werden kann, den Schutz zu stellen, zumindest solange wie das nicht behoben wurde.. Darf ich also nun anstatt VW nun auch kein anderes Auto mehr fahren, da sie ja auch Probleme haben?

  2. Ach Diskussion finde ich immer gut, solange sie Produktiv ist, sonst halte ich mich gerne heraus.

    Norton Hatte ich auch mal auf dem PC so um die Jahrtausendwende, war aber genauso schnell wieder deinstalliert weil mir die Optionen nicht zugesagt haben. Aber gerade von einem AV Programm was ich mir zusätzlich zu Windows erst kaufen muss möchte ich doch bitte auch das es sicher ist und keine Lücken ausweist, die erst dann gepacht werden wenn es jemand auffällt!

  3. Dekre sagt:

    Hatte auch Norton mal für 2 Jahre (bis Febr 2015). habe mich dann aber bewusst umentschieden und Norton keine Chance mehr gegeben. Norton hat mehreres nicht erkannt, erkennt keine Malware etc. Man weiß nie was es gerade meldet und an wem. Der Service ist unprofessionell. Norton-Schutzprogramme haben mich schon in Probleme gebracht.
    Seitdem (Febr2015) bin ich bei MSE (Win7) mit zusätzlich die Kaufvarianten von Malwarebytes.
    Ich habe es nicht bereut und sogar ein Mehrgewinn.
    Das Unternehmen kriegt irgendwie was nicht richtig hin. Es ist für mich unseriös. Jedenfalls mein Wechsel zu den Windows-Bordmittel (MSE) mit Verstärkung von Malwarebytes ist sehr gut.
    NB: Die Meldung wundert mich nicht , denn Symantec ist des Öfteren in der Vergangenheit negativ aufgefallen.

    • Ich war neulich Privat bei jemanden, bei dem war Norton Live Security, ein höchst seltsames AV Programm was anscheinend zum Teil nur Online einstellbar ist das würde mich schon Verrückt machen, es gibt keine Möglichkeit bestimmte Ordner auszuklammern oder einen Malwareschutz zudem wird bei der Installation von Spyware wie iCandy nicht gewarnt zudem kostet der scheiß noch 47,99€,
      da kann ich nur warnen.

      • Dekre sagt:

        Norton ist schnulli. Das Programm Live Security habe ich sowieso nicht verstanden. Wie kann man so was anbieten. Norton hatte auch ein sog- PC-Tool. Ich habe es dann mal Ende 2014 mal ausprobiert. Fazit – Es ist noch mehr schnulli. Der Witz ist doch, dass schon jährlich Meldungen darüber kommen wie sich das Unternehmen versucht aufzulösen. Als ich noch Norton hatte, habe ich dann mal AdwCleaner durchgejagt. Das war so Sept 2014. Der hat richtig aufgeräumt. Danach dann noch Malwarebytes der hat auch richtig aufgeräumt. Der grun dwarm, weil ich blöde Adware auf dem PC hatte. Und dieses blöden Norton hat nichts, gar nichts gefunden. Wenn man dann da anruft, so wollen diese helfen. Bringt aber nichts, weil ja ihr Norton nichts findet. Das einzige was geht ist NPE. Das ist kostenlos und kann man ja mal durchlaufen lassen. Es ist aber nur bei vermuteter schwerer Bekämpfung sinnig. Da gibt es auch anderes. Aber für eine 3. bis xx. Meinung schon mal interessant.
        Grüße

  4. Blupp sagt:

    Wieder ein Sicherheitsproblem durch Sicherheitssoftware. 😀
    Im Prinzip kann man auch einfach Datum und Zeit ändern, einen anderen Namen schreiben und es passt immer wieder. Ob es nun die gute alte gelbe Pest oder irgend ein anderer Anbieter von Sicherheitssoftware ist, Probleme sind einfach vorprogrammiert.

  5. Michael Bickel sagt:

    natürlich hat auch eine AV Software mal Fehler, schließlich Software und von Menschen programmiert. Es fragt sich halt nur, ob man nicht viel mehr Risiken eingeht, wenn man darauf verzichtet… und dass der hier so hochgelobte bzw. als ausreichend beschriebene Windows eigene Schutz in praktisch kaum einen Test mit kommerziellen Lösungen mithalten kann, kann man nicht leugnen.

    Nachdem ich einige Tage auf einem neuen Gerät nur den Windows Schutz aktiviert hatte und anschließend Bitdefender installiert hatte, habe ich mir nach einigen Tagen mal den Event Log angeschaut und einiges (vorsichtig ausgedrückt) gefunden, was die Bord – eigene Lösung von Windows offensichtlich nicht bemerkt oder geblockt hat. Nicht alles davon kritisch, einiges aber sehr bedenklich.

    Aber muss jeder selber wissen und wenn jedes Problem, was bei allen Lösungen (Hardware und Software) mal auftritt, dazu führt, dass man dann davon abrät, dann sollte man vielleicht am Besten nur mit Papier und Stift arbeiten… perfekt ist halt nichts, aber deswegen kann es trotzdem die bessere Lösung sein als nichts zu tun.

  6. Pingback: System: windows 10 defender abschalten und symbol in taskleiste ausblenden?

  7. Es kommen nun Details ans Licht: Ein Buffer-Overflow-Bug bewirkt einen Absturz unter Windows. Details im obigen Artikel.

  8. riedenthied sagt:

    Mir sind die Urteile “Sicherheitssoftware ist die größte Sicherheitslücke” zu pauschal. Es sind doch immer wieder bestimmte Produkte, die durch solche Dinge auffallen und die auch so schon keinen besonderen Ruf haben. Andere Produkte sind doch eher selten in den Negativschlagzeilen.

  9. Ben Webster sagt:

    na ja, ich sag es mal so: jeder kommt mal dran. Und der Fehler existiert doch bestimmt nicht erst, seit dem dieser entdeckt wurde. Den meisten Käufern der gelben Schachtel in den Elektronikmärkten, wird dies weder groß interessieren, noch wird er ihnen auffallen. Jedenfalls so lange sein Rechner keinen blauen Schirm anzeigt.
    Symantec wird es auch nicht besonders kratzen, solang der Umsatz darunter nicht leidet. Peinlich ist es trotzdem allemal für Symantec.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.