Antiviren-Software als Einfallstor

Antiviren-Software ist nicht nur der wichtigste Schutz vor Schädlingen aus dem Internet, sie könnte auch eines der gefährlichsten Einfallstore für Angreifer und Schad-Software werden. Denn sie läuft nicht nur auf jedem Desktop-System sondern auch auf vielen Servern und hantiert ständig mit potenziell bösartigen Dateien. Eine Sicherheitslücke an dieser Stelle kann somit katastrophale Folgen haben.

In einem Vortrag auf der Hack.lu 2007 kritisierten Sergio Alvarez und Thierry Zoller mangelhafte Sicherheitsvorkehrungen insbesondere bei Antiviren-Software. Die beiden Sicherheitsspezialisten von n.runs wissen, wovon sie reden, haben sie doch allein 2007 rund 30 Sicherheitsnotizen zu teilweise kritischen Sicherheitsproblemen in AV-Software veröffentlicht und nach eigenen Angaben circa 800 Probleme an die Hersteller weitergeleitet.

Das zentrale Problem sehen Alvarez und Zoller darin, dass Sicherheits-Software in vielen Köpfen quasi per Definition als sicher erachtet wird. So sehen Anwender und auch die Hersteller von AV-Software die schlimmste Gefahr darin, dass ein Produkt einen Virus übersieht. Die größere, dass Antiviren-Software selbst zum Einfallstor wird, lassen die meisten völlig außer Acht. So hat kaum eine Firma Vorkehrungen gegen ein Angriffsszenario getroffen, bei dem beispielsweise ein Schädling über eine Sicherheitslücke im Antiviren-Scanner den Mail-Server übernimmt, beklagt Zoller. Andreas Marx von AV-Test bestätigt: "Das Thema 'Sicherheit der eigenen Produkte' scheint kaum ein Hersteller wirklich ernst zu nehmen."

Dass das Problem real ist, beweist die endlos lange Liste von kritischen Sicherheitsproblemen, die in den letzten Jahren in Antiviren-Software entdeckt wurden. Viele davon ermöglichten tatsächlich das Einschleusen und Ausführen von Code beispielsweise durch eine speziell präparierte E-Mail.

Ein Schwachpunkt sind vor allem die vielfältigen Formate, die ein AV-Scanner untersuchen und auswerten muss. Dabei kommt oft uralter Code zum Einsatz, der dann selbst nach dem Bekanntwerden von Sicherheitslücken nicht überarbeitet wird. Bestes Beispiel: Erst vor wenigen Wochen entdeckte Stefan Kanthak, dass der Scanner von BitDefender eine zlib-Bibliothek einsetzte, die noch aus dem Jahr 1998 stammt und natürlich auch einen kritischen Fehler enthielt, der sich zum Einschleusen von Code ausnutzen ließ.

Oder aber die Hersteller reagieren auf neue Techniken und stricken zum Beispiel mit heißer Nadel "mal eben schnell" einen Entpacker für einen gerade aufgetauchten EXE-Packer. Dabei stehen die Entwickler unter extremem Zeitdruck, für ausgiebige Tests bleibt da kaum Zeit. Und was dabei dann rauskommt, kann man sich leicht ausmalen.

Die Liste der Hersteller von AV-Software mit kritischen Sicherheitsproblemen liest sich wie ein Who-is-Who der Branche: Auf der Abschussliste von Zoller und Alvarez finden sich unter anderem Avast, Avira, BitDefender, CA, ClamAV, Eset NOD32, F-Secure, Grisoft AVG, Norman, Panda und Sophos. In Kasperskys Scanner, in McAfees VirusScan und in Trend Micros Sicherheitsprodukten hat iDefense kritische Pufferüberläufe aufgedeckt, bei Symantecs Mail Security war es Secunia und Microsofts Sicherheitsprodukte erwischte die ISS/IBM XForce. Alles in diesem Jahr und die Liste ist keineswegs vollständig; allein die n.runs-Spezialisten geben an, über 80 kritische Lücken entdeckt und an die Hersteller weiter gereicht zu haben. Geschlossen wurden nach ihrem Kenntnisstand davon bislang nur etwa 30.

Die Mehrzahl solcher Probleme bügeln die Hersteller über die automatische Update-Funktion still und heimlich aus, ohne viel Aufhebens darum zu machen. So bestätigte Marx gegenüber heise Security, dass er und sein Team allein dieses Jahr circa dreißig Pufferüberläufe in AV-Produkten an deren Hersteller gemeldet haben. Zu keinem einzigen habe es ein offizielles Advisory gegeben.

Ein Ende der kritischen Sicherheitslücken ist dabei noch längst nicht in Sicht. So haben die Sicherheitsdienstleister eEye und die Zero Day Initiative noch reihenweise kritische Lücken bei den Herstellern von Sicherheitssoftware in der Queue. Das bedeutet, dass für diese Lücken bereits funktionierende Exploits existieren. Auch Alvarez und Zoller reden von der Spitze eines Eisbergs und prophezeien, dass die Situation in nächster Zeit eher schlimmer als besser wird.

Eine schnelle und einfache Lösung gibt es nicht. Administratoren könnten zwar versuchen, den Problemherd auf Servern dadurch zu isolieren, dass sie Viren-Scanner mit minimalen Rechten in einer möglichst eingeschränkten Umgebung ausführen. Doch über Web-Seiten, Downloads und E-Mails erreicht potenzieller Schadcode auch die Desktop-Systeme, wo das nicht ohne weiteres möglich ist. n.runs will demnächst mit einer neue Technik namens ParsingSafe in die Bresche springen; über die ist jedoch bislang nicht viel mehr als der Name bekannt.

Eine grundsätzliche Lösung kann nur langfristig ansetzen, und erfordert, dass die Hersteller von Sicherheits-Software anfangen, ihre Produkte an den Maßstäben zu messen, die in anderen sicherheitsrelevanten Bereichen längst als selbstverständlich vorausgesetzt werden. Dazu gehören konkrete Risikoanalysen und sichere Entwicklungstechniken aber auch Code Reviews und Penetrationtests beispielsweise mit Fuzzing.

"Wahrscheinlich müsste man dazu die meisten AV-Scanengines neu strukturieren und komplett neu schreiben" lautet die ernüchternde Bilanz von Andreas Marx. Die Programme seien bisher immer nur gewachsen und gewachsen und bauen zum Teil auf Ansätzen und Routinen auf, die schon vor 5, 10 oder 15 Jahren entwickelt wurden. Es sind immer nur neue Sachen hinzugekommen, der große Schnitt wurde nicht gemacht.

Zoller und Marx sind sich einig, dass im Grunde nur ein Secure Software Development Life Cycle derartige Probleme nachhaltig aus der Welt schaffen könnte. Doch die AV-Hersteller haben immer noch extreme Wachstumsraten zu verzeichnen und somit keinen Grund für einschneidende Veränderungen. Den Schlüssel dazu hält der Kunde in der Hand. So könnte der seine nächste Kaufentscheidung nicht nur von Preis und Erkennungsrate abhängig machen, sondern auch davon, ob die Software einen solchen sicheren Entwicklungszyklus durchlaufen hat. (ju)