Antivirensoftware nutzt Exploit-Schutz von Windows nur unzureichend

Zahlreiche Antivirenprodukte nutzen die unter Windows verfügbare Datenausführungsverhinderung (DEP) und Speicherverwürfelung (ASLR) nur unzureichend, um Angriffe auf mögliche Schwachstellen ins Leere laufen zu lassen.

In Pocket speichern vorlesen Druckansicht 62 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Zahlreiche Antiviren-Produkte nutzen die unter Windows verfügbare Datenausführungsverhinderung (DEP) und Speicherverwürfelung (ASLR) nur unzureichend, um Angriffe auf mögliche Schwachstellen ins Leere laufen zu lassen. Das berichtet Brian Krebs in seinem Blog.

Krebs knüpft damit an eine vor vier Wochen vom Dienstleister Secunia veröffentlichte Untersuchung an, wonach von 16 populären Anwendungen wie Web-Browsern, Mediaplayern und Office-Anwendungen kaum eine den Exploit-Schutz von Windows nutzt. Gerade bei Sicherheitsprodukten würde man das jedoch erwarten – zudem insbesondere Virenscanner nicht selten Schwachstellen aufweisen. DEP und ASLR lassen sich zwar mit Tricks aushebeln, sie legen die Latte für erfolgreiche Exploits dennoch höher.

Aviras Virenscanner nutzt den Exploitschutz von Windows nicht für alle Prozesse vollständig. Die Ergänzung "permanent" bedeutet, dass sich DEP für den Prozess nicht abschalten lässt.

Krebs schaute sich mit dem Process Explorer unter Windows Vista (XP unterstützt kein ASLR) den DEP- und ASLR-Status an: AVAST Home Edition, AVG Internet Security 9.0, BitDefender Internet Security 2010, ESET Smart Security, F-Secure Internet Security, Norton Internet Security 2010, Panda Internet Security 2010 und Trend Micro Internet Security 2010 nutzten weder DEP noch ASLR. Einzig Microsoft Security Essentials aktivierte für seine Prozesse sowohl DEP als auch ASLR. Daneben schalteten andere Hersteller wie Avira, McAfee oder Kaspersky die Schutzfunktionen nicht durchgehend für alle Prozesse an.

F-Secure und Bitdefender wollen laut Brian Krebs in kommenden Versionen die Unterstützung für DEP und ASLR implementieren. Avira will dies in Version 11 ebenfalls tun, weil ab dann der Support für Windows 2000 wegfällt, das weder DEP noch ASLR bietet. Panda hat eine eigene Selbstschutztechnik implementiert und verzichtet deshalb auf DEP und ASLR. Nach Angaben von Symantec soll bei Norton zumindest DEP eigentlich bereits aktiviert sein, ASLR soll in kommenden Versionen folgen. ESET hält den Exploit-Schutz von Windows hingegen für unzureichend. Ohne ausreichende Tests könne ASLR für Angriffe auf Schutzsoftware verwendet werden.

[Update]: Startet man den Process Explorer ohne Admin-Rechte, so führt dies bei einigen Diensten und Prozessen zu fehlerhaften Angaben. Möglicherweise hat dies bei Norton zu falschen Ergebnissen geführt. (dab)