Verpatzte Patches: Kaspersky bessert bei seinem Web Protection Feature nach

Die Web-/Browser-Schutz-Komponte der Schutzsoftware von Kaspersky (Anti-Virus, Internet Security, Total Security, Free Anti-Virus, Small Office) weist – je nach bereits installierten Updates – eine oder mehrere aus der Ferne ausnutzbare Sicherheitslücke(n) auf. Seit dem gestrigen Montag ist ein neues Sicherheitsupdate verfügbar, das sämtliche Probleme beheben soll.

Wie aus Erläuterungen des Entdeckers der Lücken, Wladimir Palant, hervorgeht, steckten sie in einer schlecht geschützten internen Programmierschnittstelle (API) von Kaspersky, die der Browserschutz zur Kommunikation mit der Schutzsoftware auf dem Rechner des Opfers verwendet. Gelang es einem Angreifer, sein Opfer auf eine speziell präparierte Webseite zu lotsen, konnte diese Webseite anstelle des Web-Protection-Features mit der Kaspersky-Software kommunizieren – etwa um den Adblocking- und Tracking-Schutz auf dem System zu deaktivieren, Systeminformationen zu sammeln oder einen kompletten Crash des Programms zu provozieren.

Laut Palant variierten die Angriffsmöglichkeiten auf die verwundbare API in Abhängigkeit davon, ob Nutzer eine von Kasperskys "schützenden" Browser-Erweiterungen (für Chrome, Firefox oder Edge) verwendeten oder nicht. Grundsätzlich sei das Web Feature aber in beiden Fällen aktiv und angreifbar.

Fantasievolles Flickwerk

In einem zweiten, detaillierteren Write-Up nennt Palant insgesamt fünf Sicherheitslücken (CVE-2019-15684, CVE-2019-15685, CVE-2019-15686, CVE-2019-15687 und CVE-2019-15688), von denen er einige bereits im Dezember 2018 über das Bug-Bounty-Programm des Herstellers meldete. Kaspersky habe die Probleme dann im Juli 2019, mit Erscheinen der 2020er-Versionen seiner Software, für behoben erklärt. Später habe sich allerdings herausgestellt, dass lediglich einzelne API-Funktionen nicht mehr (vollständig) aus dem Kontext von Websites verfügbar waren – und dass die Lücken auch die 2020er-Versionen betreffen.

Der vermeintliche "Fix" verursachte laut Palant gar neue Sicherheitsprobleme: Unter anderem sei es Angreifern nun möglich gewesen, mittels einer eindeutigen ID Nutzer über verschiedene Browser hinweg zu tracken und diverse Systeminformationen zu sammeln. Außerdem konnten Websites nun dank eines neuen Bugs über die API den Antiviren-Softwareprozess zum Absturz bringen.

Interessanterweise erwähnt Palant in seinem Write-Up auch, dass die Art und Weise, wie Kaspersky im selben Update die von c't aufgedeckte "Kasper-Spy"-Lücke gefixt hat, die Angriffsmöglichkeiten auf "seine" Lücken sogar noch erhöht hätten.

Alle Lücken geschlossen (?)

Laut Palant hat Kaspersky das Gros der Lücken bereits im November mit Patch I für die 2019er- beziehungsweise Patch E für die 2020er-Versionen seiner Software geschlossen. Allerdings wäre es Angreifern unter enger gesteckten Voraussetzungen auch anschließend noch möglich gewesen, die Programme über die API zum Absturz zu bringen.

Am gestrigen Montag hat Kaspersky nun in einem Sicherheitshinweis verkündet, alle von Palant entdeckten Lücken gefixt zu haben. Das Update sei bereits automatisch erfolgt; unter Umständen sei aber ein Neustart des Systems notwendig.

Einzelheiten zu abgesicherten Produkten und Patches sind Kasperskys Sicherheitshinweis zu entnehmen. (ovw)