Avast deaktiviert gefährliche Komponente seiner Antiviren-Software

Antiviren-Software muss prinzipbedingt mit gefährlichem und sogar bösartigem Code hantieren. Wenn sie dabei nicht vorsichtig genug zu Werke geht, wird aus der vermeintlichen Schutz-Software ein gefährliches Einfallstor für Viren und Hacker. Dass genau das bei Avast der Fall ist, demonstrierte der Sicherheitsforscher Tavis Ormandy auf eindrucksvolle Art und Weise. Als Reaktion blieb dem Hersteller nichts anderes übrig, als einen wichtigen Bestandteil seiner AV-Software zu deaktivieren.

Da bösartiger Code zumeist massiv verschwurbelt wird, lässt sich dessen Intention nur dadurch erkennen, dass man ihn zumindest stückweise ausführt und beobachtet. Zu diesem Zweck enthalten Antiviren-Produkte Emulatoren; bei Avast übernimmt diese Aufgabe der Prozess AvastSvc.exe, der mit System-Rechten auf dem zu schützenden Windows-Rechner läuft.

Dieser Prozess ist nicht weiter abgeschirmt und enthält unter anderem einen selbst gestrickten JavaScript-Interpreter, dessen Aufgabe es ist, verdächtigen Code auszuführen. Unterläuft ihm dabei ein Fehler – booom!!! Ormandys normales Vorgehen ist, genau solche Fehler aufzudecken, den Hersteller zu informieren und den Sachverhalt dann zu veröffentlichen. Das hat er bereits dutzend fach praktiziert und zwar auch und gerade bei Antiviren-Software. Auch bei Avast meldete er eine kritische Sicherheitslücke. Doch diesmal ließ er es nicht dabei bewenden sondern ging einen Schritt weiter.

"Teste selber"

Ormandy dokumentierte bis ins letzte Detail, wie man selbst mit ein wenig technischem Background den Avast-Javascript-Interpreter auf Sicherheitslücken abklopfen kann. Das beginnt damit, dass man auf einem Linux-Rechner eine Debug-Instanz der Javascript-Engine an den Start bringt, die man mit eigenem Testcode füttern kann. Es geht weiter damit, dass er beschreibt, wie man ganz einfach dafür sorgt, dass der eigene Code verdächtig genug aussieht, dass der Antiviren-Checker auch tatsächlich anspringt.

"Wenn du eine Verwundbarkeit [auf diesem Weg] findest, ist sie ziemlich sicher kritisch und für einen Wurm ausnutzbar. Bitte melde das dringendst" schließt Ormandy sein kleines Tutorial mit einem Verweis auf Avasts Seite zum Melden vom Sicherheitslücken. Die Reaktion ließ nicht lange auf sich warten:

"Um unsere hunderte Millionen Nutzer zu schützen, haben wir den Emulator abgeschaltet" twitterte Avast kurz darauf. Das Risiko eines Wurms, der Millionen von Avast-Systemen kapert, war dem Hersteller offenbar zu hoch; man zog den Stecker des Emulators über die Auto-Update-Funktion der AV-Software. Damit fehlt der AV-Software ein Teil seiner Schutzfunktionen. Wie wichtig dieser für den Schutz durch Avast war, ist bisher nicht klar, da es von der internen, nicht offen gelegten Architektur der Antiviren-Software abhängt.

Nun kann man natürlich Ormandy den schwarzen Peter zuschieben, dass er durch die Veröffentlichung dieser Anleitung zum Testen die Gefahr für Avast-Nutzer deutlich erhöht hat. Doch das macht den Überbringer der Nachricht verantwortlich. Es ignoriert die Tatsache, dass Avast ganz offensichtlich Sicherheits-Software vertreibt, die schon einfachste Sicherheitsregeln grob vernachlässigt. Avast führt verdächtigen Code innerhalb eines hoch privilegierten Prozesses aus, ohne dass dieser in einer Sandbox eingesperrt ist. Das ist in etwa so, als ob der Wächter in einem Lager mit Pulverfässern mit brennenden Fackeln jongliert. Ormandy hat diesen Sachverhalt offengelegt – nicht mehr und nicht weniger.

Übrigens kommt dieser peinliche Security-Offenbarungseid nur wenige Wochen nach dem Bekanntwerden, dass Avast über Jahre hinweg Browser-Daten seiner Nutzer verkauft hat. Wer jetzt nach einer schnellen Möglichkeit sucht, seinen Avast-Virenwächter loszuwerden, kann zumindest übergangsweise statt dessen den eingebauten Virenschutz von Windows nutzen, der mittlerweile recht gute Erkennungswerte hat. Auch Microsofts Software weist aber natürlich Sicherheitslücken auf. Tatsächlich hatte Microsofts AV-Engine vor einigen Jahren bereits ein ähnliches Problem.

Update 13.3.2020 10:45: Die Einschätzung zu Microsofts Virenschutz korrigiert und um den Verweis auf die frühere, ebenfalls von Ormandy aufgedeckte Lücke ergänzt. (ju)