Sicherheit: AVAST deaktiviert JavaScript in AV-Programm

[English]Eine gravierende Schwachstelle in seinen Antivirus-Lösungen hat den Sicherheitsanbieter AVAST gezwungen, JavaScript aus Sicherheitsgründen in seinen Produkten zu deaktivieren.


Anzeige

AVAST ist bei einigen Leute ja als Sicherheits- und Virenschutzlösung unter Windows im Einsatz. Allerdings holt man sich mit solchen vermeintlichen Sicherheitsprodukten oft erst Schwachstellen auf sein System. Blog-Leser Nobody hat bereits Ende letzter Woche in diesem Kommentar darauf hingewiesen (danke) und bei Golem ist es mir hier ebenfalls unter die Augen gekommen.

Project Zero deckt Schwachstelle auf

Antiviruslösungen verwenden einen JavaScript-Interpreter, um bösartigen Code in einer Sandbox auszuführen. Dann wird das Verhalten des Codes auf Hinweise auf Schadcode beobachtet. Das ist nichts Unbekanntes, und Sicherheitsexperten wissen, dass das eine potentielle Angriffsstelle für Schadsoftware ist. Existiert eine Schwachstelle in der Sandbox, kann der Schädling aus der Sandbox ausbrechen, oder sich bei erkannter Sandbox tot stellen.

Google Sicherheitsforscher Tavis Ormandy vom Project Zero hat am 11. März 2020 auf Github auf ein fettes Problem im AVAST JavaScript-Interpreter bzw. in der Virenschutz-Engine hingewiesen. Denn er ist bei der Analyse auf eine Schwachstelle in AvastSvc.exe gestoßen. Das ist der Avast-Antivirenprozess, der mit der Berechtigungsstufe SYSTEM läuft.

Dieser Dienst AvastSvc.exe lädt die Low-Level-Virenschutz-Engine und analysiert nicht vertrauenswürdige Daten, die von Quellen wie dem Dateisystem-Minifilter oder abgefangenem Netzwerkverkehr empfangen werden. Obwohl der Dienst hochprivilegiert ist und nicht vertrauenswürdige Eingaben verarbeitet, wird er nicht in einer Sandbox ausgeführt und hat, nach den Analysen von Ormandy, so gut wie keinen Maßnahmen zur Schadensbegrenzung implementiert. Zudem kommt das Produkt mit einem eigenen JavaScript-Interpreter. Alle Schwachstellen in diesem Konstrukt sind kritisch und für Remote-Angreifer leicht zugänglich.

Ormandy hat zwar keinen konkrete Schwachstelle in diesem Konstrukt gefunden. Er weist aber in seinem GitHut-Beitrag darauf hin, dass das Debuggen in diesem Prozess äußerst schwierig sein kann. Zudem hat er für andere Sicherheitsforscher dokumentiert, wie man diesen JavaScript-Emulator angreifen kann, um Schwachstellen zu suchen.

AVAST reagiert und deaktiviert JavaScript

Im Prinzip hat AVAST also so etwas wie eine Sollbruchstelle eingebaut, die es nur noch anzugreifen gilt. Es war also nur eine Frage der Zeit, bis da ein Exploit auftauchen würde. Also hat der Antivirusanbieter reagiert. AVAST berichtet in nachfolgendem Tweet, dass er seit dem 4. März 2020 über das Problem informiert gewesen sei. Nachdem Ormandy zum 9. März 2020 seinen GitHub-Beitrag mit einem Tool zur Analyse des Emulaturs veröffentlicht hat, habe man reagieren müssen.


Anzeige

Um die Millionen Kunden zu schützen, hat AVAST den Emulator mit der JavaScript-Engine deaktiviert. Laut AVAST ist die Funktionalität der Antiviruslösung dadurch nicht beeinträchtigt.

Ähnliche Artikel:
Leak enthüllt: Avast-Nutzerdaten wurden verkauft
AVAST: Nach Datenskandal ‘Aus für Jumpshot’ verkündet
Addons von AVG/AVAST im Firefox blockiert/entfernt
Firefox Addons von AVG/AVAST wieder im Store
Windows 10 V190x: Avast/AVG als Upgrade-Blocker
XSS-Schwachstelle in AVAST Antivirus
Was ist bei AVAST los? Seit 21 Tagen keine VPS-Updates mehr
Abbis: AVAST wehrt Cyber-Angriff auf Netzwerk ab
Avast ‘spioniert’ HTTPS-Verbindungen aus


Anzeige


Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Sicherheit: AVAST deaktiviert JavaScript in AV-Programm


  1. Anzeige
  2. deoroller sagt:

    Und schlagartig gingen die Aktivitäten bestimmter Botnetze zurück.
    Ob das Zufall war?

    • Ingo K sagt:

      Ja,Microsoft hat einen Botbetreiber Schachmatt gesetzt.

      Aber was ist mit AVG?Soviel ich weiss nutzen die Firmen fast die gleiche Software,oder?

  3. 1ST1 sagt:

    “Sicherheitsanbieter AVAST”

    Finde den Fehler in obiger Aussage…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.