computerwoche.de

Archiv

Virenscanner öffnen Hackern die Türen

22.11.2007
Security-Experten haben eine Vielzahl von Fehlern in Antiviren-Lösungen (AV) entdeckt, durch die Virenscanner - entgegen dem Sicherheitsgefühl, das sie vermitteln zum Einfallstor für Schadcode werden können.

Sicherheitsexperten der N.runs AG haben kürzlich auf der Konferenz HackLu2007 in Luxemburg einen Proof-of-Concept demonstriert, laut dem AV-Lösungen genau das ermöglichen, wogegen sie schützen sollen: das Einschleusen und Ausführen von Schadcode. Die beiden Security-Forscher Thierry Zoller und Sergio Alvarez haben in den vergangenen Monaten Hunderte Schwachstellen in Virenschutzprodukten aufgespürt, über die Angreifer Denial-of-Service-Attacken (DoS) starten, Schadcode an der Sicherheitslösung vorbei ins Firmennetz schleusen und sogar mit Hilfe des AV-Programms zur Ausführung bringen könnten. "Von den Schwachstellen war jede auf dem Markt befindliche Scan Engine gleich mehrfach betroffen", berichtet Zoller, Security Engineer bei dem auf Sicherheitsanalysen von Applikationen spezialisierten IT-Dienstleister. Laut N.runs handelt es sich um rund 800 dokumentierte Sicherheitslücken, die den betroffenen AV-Herstellern gemeldet wurden. Noch seien bei weitem nicht alle gepatcht.

Parsing die Achillesferse der AV-Systeme

Bei der Inspektion des AV-Programmcodes fanden die Forscher heraus, dass die ungewöhnliche Vielzahl von Lücken auf eine Kernfunktion der AV-Lösungen zurückzuführen ist das Parsen von Dateiformaten, also die Zerlegung der Daten in analysierbare Einzelteile. Bei diesem Vorgang verlassen sich Anwendungen so auch Virenscanner häufig auf die mehr oder weniger gut dokumentierten Formatvorgaben der jeweiligen Hersteller, so dass das Kopieren von Daten in den Arbeitsspeicher ohne weitere Überprüfung des Inhalts oder seiner Länge erfolgt. Das kann Fehlberechnungen zur Folge haben und bietet damit Raum für Manipulationen. "Durch Fehlannahmen beim Parsen entstehen Konstellationen, die es ermöglichen, Exploit-Code einzuschleusen und zur Ausführung zu bringen", beschreibt Zoller die grundsätzliche Problematik.

Durch die entdeckten Parser-Fehler könne ein Angreifer das Format einer Datei beispielsweise derart verändern, dass die AV-Software sie unanalysiert passieren lässt, der Endanwender das File aber sehr wohl öffnen und ausführen kann. Den Tests zufolge lässt sich die AV-Software etwa mit Hilfe einer via E-Mail verschickten, präparierten ZIP-Datei aber auch dazu bringen, speziell für eine Lücke im Programm geschriebenen Exploit-Code im Zuge des Parsing-Vorgangs auszuführen und zwar oft mit höchs-ten Rechten. "Das Betriebssystem bemerkt also keinen Unterschied, ob hier ein Angreifer am Werk ist oder die Scan-Engine ihren Dienst verrichtet", erläutert Zoller. Auf diesem Weg könnte ein Angreifer etwa die Kontrolle über den zentralen Mail-Server erlangen und sich damit nicht nur Zugriff auf die gesamte elektronische Kommunikation des Unternehmens, sondern auch Zugang zu anderen kritischen Netzsegmenten und Systemen verschaffen.

Last, but not least sei es möglich, die AV-Lösung lahmzulegen oder mit ihr je nach Implementierung das Betriebssystem zum Absturz zu bringen. Für die Dauer der Störung bedeute dies, dass das Unternehmen entweder schutzlos ist oder, im zweiten Fall etwa bei einem E-Mail-Server, während dieser Zeit keine elektronische Post erhält, so Zoller. Den Experten zufolge lassen sich Virenscanner aber auch dahingehend manipulieren, dass sie ständig "grünes Licht" geben, ein Systemzugriff von außen demnach unbemerkt bleibt.

Wer viel parst, macht auch viele Fehler

Schon allein aufgrund der ständig steigenden Zahl an Dateiformaten, die AV-Software verstehen und bearbeiten, sprich: "parsen" muss, um ihr primäres Ziel die Erkennung möglichst vieler digitaler Schädlinge zu erfüllen, ist ihre Fehleranfälligkeit entsprechend hoch. "Die große Vielfalt von Formaten und Spezifikationen macht es fast unmöglich, alle korrekt zu unterstützen", so Zoller. Die in Teilen hochkomplexe Analyse jedes einzelnen Formats stelle eine potenzielle Fehlerquelle dar. Andererseits gelte im AV-Markt zwangsläufig: Je mehr Dateiformate eine Virenschutzlösung unterstützt (bei einigen Herstellern bis zu 3000 Formaten), desto besser ist der durch sie erzielte Schutz.

"Die AV-Industrie und deren Entwickler stehen unter enormem Zeitdruck: Hier geht es darum, wer am schnellsten neue Gefahren erkennt was die Qualität des Codes nicht unbedingt steigert", gibt Zoller zu bedenken. Kritisch sei die Fehlerfülle in AV-Systemen aber auch, weil Viren-Engines heute nicht mehr nur auf dem PC, sondern in der Regel an allen zentralen Schaltstellen im Firmennetz laufen, wo die wichtigsten Daten gespeichert und verarbeitet werden. Nach Meinung der Experten ist der als "Best Practice" propagierte Ansatz, dass die Hintereinanderschaltung mehrerer unterschiedlicher AV-Engines die Sicherheit per se erhöhe, nicht haltbar. Vielmehr gerate dieses Vorgehen, irrtümlich als "Defense in Depth" verstanden, zum Paradoxon: "Unternehmen gehen davon aus, sich umfassend zu schützen, vergrößern aber in Wirklichkeit mit jeder zusätzlichen AV-Engine die Angriffsfläche", so Zoller.

Auch für andere Sicherheitsspezialisten haben die Parser-Schwachstellen in Virenschutzlösungen besondere Tragweite. So wertet Wolfgang Kraft die Vielzahl der in den vergangenen Monaten publizierten Lücken in AV-Systemen als deutliches Indiz für eine Schwäche der Engines. Der auf Prozess- und Systemsicherheit spezialisierte IT-Berater erachtet insbesondere den funktions- und wettbewerbsbedingten Spagat der AV-Hersteller als Quelle immer neuer Fehler. "Das Parsen könnte ausgefeilter sein, wären die Programmierer nicht gezwungen, jede Möglichkeit wahrzunehmen, den Prozess abzukürzen oder den Speicherbedarf zu optimieren", verweist Kraft auf die Zwickmühle der Anbieter. So erwarte der Kunde einerseits, dass seine AV-Lösung einen neuen Schädling innerhalb von Stunden nach dem ersten Auftreten erkennt, andererseits soll der Virenscanner vom Nutzer möglichst unbemerkt arbeiten.

Hacker suchen nach neuen Angriffswegen

Laut Kraft ist davon auszugehen, dass Angreifer angesichts der zunehmenden Sicherheit von Betriebssystemen sowie mittlerweile meist eingeschränkter Windows-Nutzer-Accounts verstärkt nach neuen Wegen suchen werden, auf kritische Firmensysteme zuzugreifen. "Wer über Windows nicht mehr an die höchsten Zugriffsrechte herankommt, wird über kurz oder lang versuchen, die nächste Stufe anzugreifen, die ihm diese verschafft die AV-Soft-ware", prophezeit der Consultant. Allerdings sieht Kraft hier weniger das Risiko von Massenattacken als gezielter Einbrüche.

Die AV-Industrie zeigt sich im Hinblick auf die von ihren Produkten ausgehende Problematik gelassen. Über die grundsätzliche Fehleranfälligkeit der Parser-Engines herrscht weitgehend Konsens. "Hundertprozentig ausschließen kann man nicht, dass es da mitunter Bugs geben kann", räumt etwa Magnus Kalkuhl, Virenanalyst bei Kaspersky, ein. "Wir prüfen bei einem neuen Format immer, wie weit sich der jeweilige Interpreter in die Enge treiben lässt, wenn ihm absichtlich falsche Daten zugeführt werden." Das Gros der Schwachstellen, etwa beim Umgang mit gepackten Dateien, hält Kalkuhl jedoch für keine wirkliche Bedrohung, da sie im schlimmsten Fall dazu führten, dass der Rechner einfriert. "So ärgerlich ein Rechnerabsturz auch ist, wirklich gefährlich ist die unbemerkte Infektion mit einem Schädling", argumentiert der Virenanalyst. Eine solche Lücke im AV-Scanner, die sich ausnutzen lässt, um Code auszuführen, sei zwar theoretisch denkbar, aber extrem selten und erfordere erhebliches Know-how vom Angreifer.

Sophos wiederum bestätigt, dass Virenscannner ein Angriffsziel sind. "Wir haben in unseren Labors mit Hilfe unserer Honeypots festgestellt, dass es vermehrt Versuche gibt, den Virenscanner auszuhebeln", berichtet Jens Freitag, Senior Technology Consultant bei Sophos. Die Parsing-Funktionalität des Scanners sei gleichzeitig eine Schwachstelle, die schon in der Vergangenheit dazu geführt habe, dass sich dieser außer Gefecht setzen ließ. Daher habe Sophos die eigene AV-Lösung weiterentwickelt, um derartigen Angriffen entgegenzuwirken. Ein erster Schritt sei hier die "Buffer Overflow Protection", die überwache, ob ein Programm versucht, den Stack zu überschreiben.

Symantec hat vermehrt Versuche festgestellt, mit dem AV-Scanner den ganzen Rechner lahmzulegen. "Das Thema beschäftigt uns seit geraumer Zeit, und wir bemühen uns darum, unser Produkt als Applikation sicherer zu machen, damit es nicht ausgehebelt oder missbraucht werden kann", berichtet Michael Hoos, Technical Director Central Emea bei Symantec. Dafür sorgten viele Selbstschutzmechanismen in der Symantec-Software und ein automatisierter Quality-Assurance-Prozess beim Testen von Virendefinitionen gegen alle gängigen Dateien. "Aber: Es ist Software! Wenn ein Angreifer sich hinsetzt und partout unser Produkt verwenden will, um etwas lahmzulegen, wird ihm das wie bei jeder anderen Software - irgendwann gelingen", so Hoos.

Nachdem sich die grundsätzliche Fehleranfälligkeit der AV-Lösungen beim Parsen aus genannten Gründen kaum beheben lässt, der Erkennungsmechanismus bei der Bekämpfung digitaler Schädlinge aber nicht zu ersetzen ist, gibt es nach Ansicht von N.runs nur eine Lösung: eine weiterhin hohe Erkennungsrate von Viren, allerdings eingebettet in eine sichere Architektur, die erfolgreiche Angriffe auf AV-Produkte verhindert. Die Sicherheitsexperten entwickeln daher eine Lösung (Codename "Parsing-safe"), die die AV-Hersteller als Technikpartner einbindet.