Antiviren-Software als Keylogger missbraucht
Comodos Antiviren-Software enthält einen Emulator, der bösartiges Verhalten von verdächtiger Software aufdecken soll. Dummerweise reichte der viele Funktionsaufrufe ans echte Windows durch – mit Systemrechten!
Der Virenscanner als Keylogger: Während des Scans im Hintergrund landen alle Tastatureingaben (Notepad rechts) auf dem Server (grün).
(Bild: Ormandy/Google)
Googles streitbarer Forscher Tavis Ormandy hat wieder zugeschlagen. Gemäß seiner Analyse kann ein Schädling aus der Emulation des Comodo-Virenwächters ausbrechen. Das bedeutet, er kann während des Scans als Keylogger agieren oder geheime Schlüssel auslesen und übers Netz verschicken. Updates des Herstellers sollen diese Gefahren entschärfen.
Um verschlüsselte Schädlinge zu erkennen, führt Comodo – wie auch andere Antiviren-Software – den Code in einer Sandbox aus, in der er eigentlich keinen Schaden anrichten können sollte. Dazu werden idealerweise alle Systemaufrufe überwacht und gefiltert, damit der potenzielle Virus keinen Zugriff auf das darunterliegende Windows-System erhält.
Einfach durchgereicht
Unglücklicherweise reicht Comodo aber viele Funktionen ungefiltert an das System durch, die nicht so harmlos sind, wie es den Comodo-Entwicklern schien. So gelang es Ormandy, einen Schädling zu bauen, der während seines Scans – den er auf über 10 Minuten in die Länge zog – alle Tastatureingaben mitprotokollierte und an einen externen Server übertrug: Antiviren-Software als Keylogger.
Gemäß Ormandys Bericht Comodo Antivirus Forwards Emulated API calls to the Real API during scans hat der Hersteller dieses Problem und eine Reihe weiterer durch Updates entschärft. Insbesondere hat der AV-Hersteller jetzt auch für seine Software Address Space Layout Randomisation (ASLR) aktiviert. Das ist ein Schutz vor den Folgen von Pufferüberläufen, deren Einsatz seit über sechs Jahren angemahnt wird. (ju)
