Virenscanner öffnen Hackern die Türen

26.11.2007
Von Katharina Friedmann
Security-Experten haben eine Vielzahl von Fehlern in Antiviren-Lösungen (AV) entdeckt, durch die Virenscanner - entgegen dem Sicherheitsgefühl, das sie vermitteln - zum Einfallstor für Schadcode werden können.

Sicherheitsexperten der n.runs AG haben kürzlich auf der Konferenz HackLu2007 in Luxemburg einen Proof-of-Concept demonstriert, laut dem AV-Lösungen genau das ermöglichen, wogegen sie schützen sollen: das Einschleusen und Ausführen von Schadcode. Die beiden Security-Forscher Thierry Zoller und Sergio Alvarez haben in den vergangenen Monaten Hunderte von Schwachstellen in Virenschutzprodukten aufgespürt, über die Angreifer Denial-of-Service-Attacken (DoS) starten, Schadcode an der Sicherheitslösung vorbei ins Firmennetz schleusen und sogar mit Hilfe des AV-Programms zur Ausführung bringen könnten. "Von den Schwachstellen war jede auf dem Markt befindliche Scan Engine gleich mehrfach betroffen", berichtet Zoller, Security Engineer bei dem auf Sicherheitsanalysen von Applikationen spezialisierten IT-Dienstleister. Laut n.runs handelt es sich bislang um rund 800 dokumentierte Sicherheitslücken, die den betroffenen AV-Herstellern gemeldet wurden. Noch seien bei weitem nicht alle gepatcht. Fortlaufende Tests brächten aber laufend neue Fehler ans Licht, so Zoller.

Parsing - die Achillesferse der AV-Systeme

Bei der Inspektion des AV-Programmcodes fanden die Forscher heraus, dass die ungewöhnliche Vielzahl von Lücken auf eine Kernfunktion der Virenschutzlösungen zurückzuführen ist - das Parsen von Dateiformaten, also die Zerlegung der Daten in analysierbare Einzelteile. Bei diesem Vorgang verlassen sich Anwendungen - so auch Virenscanner - häufig auf die mehr oder weniger gut dokumentierten Formatvorgaben der jeweiligen Hersteller, so dass das Kopieren von Daten in den Arbeitsspeicher ohne weitere Überprüfung des Inhalts oder seiner Länge erfolgt. Das kann Fehlberechnungen zur Folge haben und bietet damit Raum für Manipulationen. "Durch Fehlannahmen beim Parsen entstehen Konstellationen, die es ermöglichen, Exploit-Code einzuschleusen und zur Ausführung zu bringen", beschreibt Zoller die grundsätzliche Problematik.

Durch die in den Virenschutzlösungen entdeckten Parser-Fehler könne ein Angreifer das Format einer Datei beispielsweise derart verändern, dass die AV-Software nichts damit anzufangen weiß und sie daraufhin unanalysiert passieren lässt (AV Bypass Schwachstelle), der Endanwender das File aber sehr wohl öffnen und ausführen kann. In einem tiefer gehenden Schritt lässt sich die AV-Software den Tests zufolge etwa mit Hilfe einer via E-Mail verschickten, präparierten ZIP-Datei aber auch dazu bringen, speziell für eine Lücke im Programm geschriebenen Exploit-Code im Zuge des Parsing-Vorgangs auszuführen (Code Execution) - und zwar oft mit höchsten Rechten. "Das Betriebssystem bemerkt also keinen Unterschied, ob hier ein Angreifer am Werk ist oder die Scan-Engine ihren Dienst verrichtet", erläutert Zoller. Auf diesem Weg könnte ein Angreifer etwa die Kontrolle über den zentralen Mail-Server erlangen und sich damit nicht nur Zugriff auf die gesamte elektronische Kommunikation des Unternehmens, sondern auch Zugang zu anderen kritischen Netzsegmenten und Systemen verschaffen.

Last, but not least sei es möglich, die AV-Lösung lahmzulegen oder mit ihr - je nach Implementierung - das Betriebssystem zum Absturz zu bringen. Für die Dauer der Störung bedeute dies, dass das Unternehmen entweder schutzlos ist oder, im zweiten Fall etwa bei einem E-Mail-Server, während dieser Zeit keine elektronische Post erhält, so Zoller. Den Experten zufolge lassen sich Virenscanner aber auch dahingehend manipulieren, dass sie ständig "grünes Licht" geben, ein Systemzugriff von außen demnach unbemerkt bleibt.

Wer viel parst, macht viele Fehler

Schon allein aufgrund der ständig steigenden Zahl an Dateiformaten, die AV-Software verstehen und bearbeiten, sprich: "parsen" muss, um ihr primäres Ziel - die Erkennung möglichst vieler digitaler Schädlinge - zu erfüllen, ist ihre Fehleranfälligkeit entsprechend hoch. "Die große Vielfalt von Formaten und Spezifikationen macht es fast unmöglich, alle korrekt zu unterstützen", so Zoller. Im Prinzip stelle die in Teilen hochkomplexe Analyse jedes einzelnen Formats eine potenzielle Fehlerquelle dar. Andererseits gelte im AV-Markt zwangsläufig die Devise: Je mehr Dateiformate eine Virenschutzlösung unterstützt (bei einigen Herstellern bis zu 3000 Formaten), desto besser ist der durch sie erzielte Schutz.

Verschärft wird die Situation nach Ansicht der Experten durch die von den AV-Anbietern geforderte schnelle Reaktion auf neue Bedrohungen. "Die AV-Industrie und deren Entwickler stehen unter enormem Zeitdruck: Hier geht es darum, wer am schnellsten neue Gefahren erkennt - was die Qualität des Codes nicht unbedingt steigert", gibt Zoller zu bedenken. Kritisch sei die Fehlerfülle in AV-Systemen aber auch, weil Viren-Engines heute nicht mehr nur auf dem PC, sondern in der Regel an allen zentralen Schaltstellen im Firmennetz laufen, wo die wichtigsten Daten gespeichert und verarbeitet werden. Nach Meinung der Experten ist der als "Best Practice" propagierte Ansatz, dass die Hintereinanderschaltung mehrerer unterschiedlicher AV-Engines die Sicherheit per se erhöhe, nicht haltbar. Vielmehr gerate dieses Vorgehen, irrtümlich als "Defense in Depth" verstanden, geradezu zum Paradoxon: "Während Unternehmen davon ausgehen, sich umfassend zu schützen, vergrößern sie in Wirklichkeit mit jeder zusätzlichen AV-Engine die Angriffsfläche", so Zoller.

AV-Anbieter in der Zwickmühle

Auch für andere Sicherheitsspezialisten haben die Parser-Schwachstellen in Virenschutzlösungen besondere Tragweite. So wertet Wolfgang Kraft die Vielzahl der in den vergangenen Monaten publizierten Lücken in AV-Systemen als deutliches Indiz für eine Schwäche der Engines. Der auf Prozess- und Systemsicherheit spezialisierte IT-Berater erachtet insbesondere den funktions- und wettbewerbsbedingten Spagat der AV-Hersteller, ihre Produkte immer weiter zu beschleunigen, gleichzeitig aber zu befähigen, nahezu jeden Dateityp zerlegen zu können, als Quelle immer neuer Fehler. "Das Parsen könnte ausgefeilter sein, wären die Programmierer nicht gezwungen, jede Möglichkeit wahrzunehmen, den Prozess abzukürzen oder den Speicherbedarf zu optimieren", verweist Kraft auf die Zwickmühle der Anbieter. So erwarte der Kunde einerseits, dass seine AV-Lösung einen neuen Schädling innerhalb von Stunden nach dem ersten Auftreten erkennt, andererseits soll der Virenscanner vom Nutzer möglichst unbemerkt arbeiten.

Hacker suchen nach neuen Angriffswegen

Laut Kraft ist davon auszugehen, dass Angreifer angesichts der zunehmenden Sicherheit von Betriebssystemen sowie mittlerweile meist eingeschränkter Windows-Nutzer-Accounts verstärkt nach neuen Wegen suchen werden, auf kritische Firmensysteme zuzugreifen. "Wer über Windows nicht mehr an die höchsten Zugriffsrechte herankommt, wird über kurz oder lang versuchen, die nächste Stufe anzugreifen, die ihm diese verschafft – und das ist die AV-Software", prophezeit der Consultant. Allerdings sieht Kraft hier weniger das Risiko von Massenattacken als vielmehr gezielter Einbrüche. "Interessant sind verwundbare AV-Systeme für denjenigen, der im Auftrag anderer Informationen aus bestimmten Firmen absaugen will – wird er doch für einen einzelnen Angriff, den er auf ein spezielles Ziel zuschneidet, deutlich besser bezahlt, und dabei kommt ihm eben auch eine Lücke in einem einzelnen System gelegen."

Die AV-Industriim Hinblick auf die von ihren Produkten ausgehende Problematik gelassen. Dass auch Programme, die eigentlich dazu da sind, Sicherheit zu gewährleisten, ausnutzbare Schwachstellen aufweisen, darüber herrscht in der Branche Konsens. Auch der grundsätzlichen Fehleranfälligkeit beim Parsen von Dateiformaten sind sich die Hersteller weitgehend bewusst. "Hundertprozentig ausschließen kann man nicht, dass es da mitunter Bugs geben kann", räumt etwa Magnus Kalkuhl, Virenanalyst bei Kaspersky, ein. Entscheidend sei demnach, die Formate sorgfältig zu testen und dafür entsprechende Ressourcen aufzuwenden. "Wir prüfen bei einem neuen Format immer, wie weit sich der jeweilige Interpreter in die Enge treiben lässt, wenn ihm absichtlich falsche Daten zugeführt werden." Das Gros der Parser-Schwachstellen, etwa beim Umgang mit gepackten Dateien, hält Kalkuhl jedoch für keine wirkliche Bedrohung, da sie im schlimmsten Fall dazu führten, dass der Rechner einfriert. "So ärgerlich ein Rechnerabsturz auch ist, wirklich gefährlich ist die unbemerkte Infektion mit einem Schädling", argumentiert der Virenanalyst. Eine solche Lücke im AV-Scanner, die sich ausnutzen lässt, um eigenen Code auszuführen, sei zwar theoretisch denkbar, aber extrem selten und erfordere erhebliches Know-how vom Angreifer. "Die Anzahl an Infektionen von Computern, die durch Ausnutzung solcher Lücken entstanden sind, ist marginal im Vergleich zu Infektionen durch einen vom Scanner nicht erkannten Virus."

Sophos wiederum bestätigt, dass Virenscannner ein Angriffsziel sind. "Wir haben in unseren Labors mit Hilfe unserer Honeypots festgestellt, dass es vermehrt Versuche gibt, den Virenscanner auszuhebeln", berichtet Jens Freitag, Senior Technology Consultant bei Sophos. Die Parsing-Funktionalität des Scanners sei gleichzeitig eine Schwachstelle, die schon in der Vergangenheit dazu geführt habe, dass sich dieser außer Gefecht setzen ließ. Daher habe Sophos die eigene AV-Lösung entsprechend weiterentwickelt, um derartigen Angriffen entgegenzuwirken. Ein erster Schritt sei hier die so genannte Buffer Overflow Protection, die den Stack überwache und prüfe, ob ein Programm versucht, ihn zu überschreiben, um einen Pufferüberlauf zu erzeugen.

Laut Symantec gibt es in letzter Zeit in der Tat Versuche, mit dem Virenscanner den ganzen Rechner lahmzulegen, um DoS-Attacken zu starten. "Das Thema beschäftigt uns seit geraumer Zeit, und wir bemühen uns darum, unser Produkt als Applikation sicherer zu machen, damit es nicht ausgehebelt oder missbraucht werden kann", berichtet Michael Hoos, Technical Director Central Emea bei Symantec. Neben einer Vielfalt an Selbstschutzmechanismen in der Symantec-Software sorge ein automatisierter, umfangreicher Quality-Assurance-Prozess beim Testen von Virendefinitionen gegen alle gängigen Dateien dafür, dass es nicht zu Fehlerkennungen komme. "Aber: Es ist Software! Wenn ein Angreifer sich hinsetzt und partout unser Produkt verwenden will, um etwas lahmzulegen, wird ihm das - wie bei jeder anderen Software - irgendwann gelingen", räumt Hoos ein. Viel einfacher und eher dem gängigen Vorgehen eines Angreifers entsprechend sei es aber, sich auf das Betriebssystem oder Applikationen zu konzentrieren, bei denen die Erfolgschancen entsprechend größer seien.

Problemlösung in Sicht

Nachdem sich die grundsätzliche Fehleranfälligkeit der AV-Lösungen beim Parsen aus den genannten Gründen kaum beheben lässt, der Erkennungsmechanismus bei der Bekämpfung digitaler Schädlinge aber nicht zu ersetzen ist, gibt es nach Ansicht von n.runs nur eine Lösung: eine weiterhin hohe Erkennungsrate von Viren, allerdings eingebettet in eine sichere Architektur, die erfolgreiche Angriffe auf AV-Produkte verhindert. Die Sicherheitsexperten entwickeln daher eine Lösung (Codename "Parsing-safe"), die auf dem Zusammenspiel mit den bereits eingesetzten AV-Produkten basiert und die AV-Hersteller als Technikpartner einbindet. (kf)