DoS-Lücke in Kaspersky-Treiber
Ein Treiber aus Kasperskys Antivirenprodukten klinkt sich in Systemfunktionen ein. Durch fehlerhafte Überprüfungen von daran übergebenen Parametern können Angreifer den Rechner zum Absturz bringen.
Kasperskys Sicherheitsprodukte enthalten einen Treiber, der sich in Windows-Systemfunktionen einklinkt und Aufrufe davon überwacht. Dabei übergebene Parameter überprüft der Treiber jedoch nicht korrekt, sodass Angreifer mit ungültigen Daten betroffene Systeme abstürzen lassen können. Der Sicherheitsdienstleister MatouSec schließt nicht aus, dass sich so auch Schadcode einschleusen und mit Systemrechten ausführen ließe, hat dies jedoch nicht überprüft oder nachgewiesen.
Sicherheitsprodukte klinken sich häufig in Systemfunktionen ein, um den Rechner zu überwachen. Durch die Überwachung der Aufrufe von Funktionen der System Service Descriptor Table (SSDT) lässt sich herausfinden, welche Programme auf dem Rechner aktiv sind und was sie machen – ein Behavioral Blocker kann dadurch Rückschlüsse auf schädliches Verhalten ziehen. Auch der Selbstschutz der Sicherheitssoftware lässt sich so umsetzen, indem sie Aufrufe unterbindet, die Modifikationen des eigenen Prozesses zur Folge haben.
Der Kaspersky-Treiber klif.sys hakt sich unter anderem in die Systemfunktionen NtCreateKey, NtCreateProcess, NtCreateProcessEx, NtCreateSection, NtCreateSymbolicLinkObject, NtCreateThread, NtLoadKey2, NtOpenKey und NtOpenProcess ein. Ruft ein Programm diese Funktionen mit ungültigen Werten auf, stürzt der Rechner ab und startet neu. Der Sicherheitsdienstleister stellt in seiner Meldung ein Programm bereit, mit dem man dieses Verhalten nachvollziehen kann. Bei einem Test von heise Security stürzte dadurch Kasperskys Antivirus 6 mit allen aktuellen Patches unter Windows XP reproduzierbar ab.
Eine Sicherheitsmeldung von EP_X0FF erläutert die angeblich schon seit Langem vorhandene Schwachstelle in Kasperskys Treiber anhand der Funktion NtOpenProcess. Kaspersky hat darauf mit einem eigenen Fehlerbericht reagiert und einen Patch angekündigt, den das Unternehmen in Kürze via automatischem Update verteilen will. Das Sicherheitsrisiko stuft Kaspersky als niedrig ein, schließlich müsse ein lokaler Anwender dazu von Hand schädliche Software starten. Laut Kaspersky ermöglicht die Schwachstelle keine Ausweitung der Rechte oder die Ausführung von fremden Code. Betroffen sind Kaspersky Antivirus 6 und 7, Internet Security 6 und 7, Anti-Virus for Windows Workstations 6 sowie Anti-Virus 6 for Windows Servers unter den Betriebssystemen Windows NT bis Windows 2003 – unter Windows Vista verursacht das Beispielprogramm keinen Absturz.
Die sich in jüngster Zeit häufenden Funde von Schwachstellen in Software, die eigentlich der Sicherheit der Rechner dienen soll, wirft ein schlechtes Licht auf die Branche: Zahlreiche Antivirenhersteller, darunter F-Secure, Grisoft oder Avira, mussten kürzlich Sicherheitslücken wie Pufferüberläufe, Format-String-Schwachstellen oder einfach fehlende Überprüfungen von Benutzereingaben in ihren Produkten schließen, die sich häufig auf Pfusch oder fehlende Erfahrung der Entwickler zurückführen lassen. Dabei steht Antivirensoftware an vorderster Front gegen die Angreifer aus dem Netz und ist somit besonders unter Beschuss. Hoffentlich animieren die jüngsten Vorkommnisse die Antivirenhersteller, ihre Software sicherer zu machen: Gerade bei Sicherheitssoftware sollte schließlich die Sicherheit eine zentrale Rolle auch in der Entwicklung spielen.
Siehe dazu auch:
- Kaspersky Multiple insufficient argument validation of hooked SSDT function Vulnerability, Sicherheitsmeldung von MatouSec
- Exploiting Kaspersky Antivirus 6.0-7.0, Fehlermeldung von EP_X0FF
- KLV07-07.Klif.sys calling NtOpenProcess vulnerability, Fehlerbericht von Kaspersky
(dmk)
