Sicherheitslücken in Kaspersky Internet Security

Publiziert am 30. August 2016 von Günter Born

Falls jemand von euch eine Antiviruslösung von Kaspersky wie Kaspersky Internet Security einsetzt, solltet ihr diese aktualisieren (falls kein Auto-Update erfolgt ist). Andernfalls ist Kaspersky Internet Security nutzlos.

Anzeige

Ich werde hier im Blog ja häufig für meine klare Kante kritisiert. So behaupte ich durchaus "die größte Gefahr für die Sicherheit eurer Systeme ist die eingesetzte Fremd-Antiviruslösung/Internet Security Suite". Löst meist wütende Proteste oder Gegenstimmen aus. Wäre ja super, wenn ich im Unrecht stände – leider bestätigt mich die Realität immer wieder (siehe die Links am Artikelende).

Mehrere fette Sicherheitslücken machen KIS nutzlos

In der Medizin gibt es die berühmte weiße Salbe – enthält keine Wirkstoffe, ist nutzlos, aber den Patienten hilft's. Die fühlen sich gleich besser, wenn weiße Salbe aufgetragen wird. Glaube versetzt Berge …

… auch bei Virenscannern. Sicherheitsforscher von Talos (Cisco) haben letzten Freitag diesen Blog-Beitrag veröffentlicht. Kaspersky Internet Security enthielt gleich mehrere kritische Sicherheitslücken. Über drei Sicherheitslücken konnten Angreifer einen Systemabsturz veranlassen, über einen ließen sich Speicherhinhalte auf von KIS geschützten Maschinen manipulieren und auswerten.

Ist mal wieder das alte Spiel: Um wirken zu könnten, injiziert KIS den Filtertreiber KLIF in Windows und klinkt diesen in die Windows API ein. Ein Schadcode kann über fehlerhafte Parameter im Windows API-Aufruf böswillige Aktionen durchführen. So ließe sich auf gesperrte Speicherbereiche zugreifen, was zu einem Systemabsturz führt. Zudem gibt es eine Lücke, die zu einem Systemabsturz führt, wenn ein ungültiger IOCTL-Aufruf über den Treiber abgesetzt wird. Und es gibt die Möglichkeit, über IOTCL-Aufrufe den KLIF-Treiber zu veranlassen, Kernel Memory-Inhalte an den User-Space zu übermitteln. Dies könnte ausgenutzt werden, um Sicherheitsinformationen über die Kernel-Speicherbelegung abzurufen.

Die Sicherheitslücken betreffen Kaspersky Internet Security 16.0.0 mit dem KLIF-Treiber Version 10.0.0.1532. Die Talos-Forscher geben an, dass auch andere Produkte (sofern der Treiber dort verwendet wird) betroffen seien, geben aber keine weiteren Details. Nun können natürlich immer mal wieder Fehler passieren. Das Problem bei Virenscannern und Internet Security Suites ist aber, dass diese – bzw. Teile – im Kernel Adressraum mit Kernel-Privilegien laufen. Schadcode, der Sicherheitslücken ausnutzen kann, erhält damit Zugriff auf den Kernel des Betriebssystems – man hat quasi den Bock zum Gärtner gemacht. (via)

Ähnliche Artikel:
Windows 10: Welche Antivirus-Lösung soll ich einsetzen?
Windows 10: Vorsicht bei Bitdefender Internet Security 2015
Achtung Teffer: Deine Antivirus-Software als Sicherheitslücke?
Comodo Antivirus killt Chrome 45-Browser per Code-Injection
AVAST: NG verursacht starke CPU-Last
Avast: Finger weg vom GrimeFighter
Windows 8.1 November Rollup Update kollidiert mit AVAST
Symantec patzt: AV-Produkte unsicher!

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Update, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Sicherheitslücken in Kaspersky Internet Security

  1. Herr IngoW sagt:
    30. August 2016 um 16:45 Uhr

    Habe grad vor ein paar Tagen "Norton Internet Security" von mehreren meiner betreuten Systeme entfernt.
    Systeme sind etwas schneller und der Ballast im System ist um rund 300MB kleiner.
    Probleme scheint es nicht zu geben, der Defender läuft ohne durch irgendwelche Nervereien aufzufallen.
    Wenn man das so hört war die Entscheidung wohl richtig.

    Antworten
  2. Peter sagt:
    31. August 2016 um 00:11 Uhr

    Meine KLIF Version ist 10.0.0.1551 mit Datum vom 08.07.2016
    KIS 2016 V.16.0.0.614(g)
    Ist die Lücke da schon behoben? Ist ja gegenüber der Meldung schon eine neuere Version, wenngleich auch vom letzten Monat.

    Antworten
  3. Lucas Hoffmann sagt:
    31. August 2016 um 07:41 Uhr

    Ich hab in letzter Zeit irgendwie das Problem das der Defender mit seinem Antimalware Scan im Hintergrund mehrere Systeme fast unbenutzbar macht. Teilweise sogar auf Systemen wo der Defender deaktiviert ist. Bisher leider dafür noch keine Lösung gefunden.

    Antworten
    • Günter o. Martha sagt:
      31. August 2016 um 10:42 Uhr

      Habe ich auch schon als Gerücht gehört – und der MSE scheint unter W7 auch zu so was zu neigen (die genaue Konstellation habe ich noch nicht festgestellt – in Verbindung mit Chrome gibt es irgendwann beim Öffnen eines Tabs plötzlich Disk-I/O bis zum Abwinken und das System reagiert kaum mehr – ich vermute eine Kombi aus Memory Leak und MSE Scans). Falls ich da mal den Durchblick habe, trage ich einen Blog-Post nach. Sofern Du was findest, kannst ja einen Kommentar hinterlassen.

      Antworten

Schreibe einen Kommentar zu Herr IngoW Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.