Bitdefender kämpft mit schweren Sicherheitsproblemen
Bis zu vier Anläufe brauchte der Hersteller, um insgesamt 10 kritische Sicherheitslücken zu beseitigen.
Ein Informatikstudent hat gleich 10 Fehler in der Speicherverwaltung von Bitdefenders Antivirus-Software entdeckt. Die meisten davon dürften sich ohne allzu großen Aufwand dazu nutzen lassen, eigenen Code einzuschleusen und auszuführen. Der läuft dann mit den Rechten der Antiviren-Software auf dem betroffenen Windows-Rechner – also mit SYSTEM-Rechten und ohne Sandbox. Im Klartext: Wer diese Lücken ausnutzt, kann ein System ohne großen Aufwand komplett unter seine Kontrolle bringen.
Der Informatikstudent David L. hat Bitdefenders Code zum Auspacken von UPX-komprimierten Dateien analysiert und dabei in nahezu jedem Schritt kritische Fehler vorgefunden. Die Bugs sind allesamt keine superschwer zu findenden Lücken sondern eher Brot&Butter-Lücken für Sicherheitsforscher, wie man sie etwa mit Fuzzing leicht findet. Fast die Hälfte verursachte das Fehlen der wichtigen Längenprüfung in Speicheroperationen. Tavis Ormandy, der selbst bereits mehrere solche Lücken in AV-Software aufgedeckt hat, kommentiert auch prompt, es sei "unverantwortlich, Code so auszuliefern".
Antiviren-Software als Sicherheits-Risiko
Die Funde bestätigen einmal mehr die von heise Security bereits 2007 in Antiviren-Software als Einfallstor dokumentierte Tatsache, dass eigentlich immer, wenn ein Sicherheitsforscher "auf Antiviren-Software drauf haut", unten kritische Sicherheitslücken herauspurzeln. Das illustrierten Forscher 2014 erneut und es scheint sich nicht grundsätzlich geändert zu haben. Antiviren-Software ist ein potentielles Sicherheitsproblem. Das gilt umso mehr, je weiter man sich vom Mainstream – also Windows Defender AV – entfernt. Der wurde zumindest von Ormandy und anderen bereits heftig durchgeschüttelt und dürfte weniger derart einfach zu findende und trivial ausnutzbare Lücken aufweisen.
Das Grundproblem ist, dass AV-Software unzählig viele Dateiformate analysieren und dazu auspacken muss. In vielen Fällen wird dazu einfach der Code von simplen Tools, also etwa einem Open-Source-Entpacker benutzt; David L. konnte viele der von ihm entdeckten Lücken zu den Original-UPX-Tools zurückverfolgen. Die wurden aber nicht für allerhöchste Sicherheitsanforderungen geschrieben. Wer wird schon als Administrator auf einem Produktivsystem einen Trojaner auf der Kommandozeile auspacken?
Aber genau das tut Antiviren-Software: Also nicht auf der Kommandozeile, sondern automatisiert im Hintergrund packt sie jeden verdächtigen Datensatz aus, der an ihr vorbeikommt. Mit Systemrechten! Und im Fall von Bitdefender ohne zusätzliche Abschirmung etwa durch eine Sandbox. Ein Angreifer muss also seinen Exploit-Code nur ganz grob in die Richtung seines Opfers schubsen – der Rest passiert quasi automatisch.
Sicher nach mehreren Anläufen
Auch kein Ruhmesblatt: Bitdefender benötigte oft mehrere Anläufe, um die gemeldeten Sicherheitslücken richtig zu schließen. In einem Fall klappte das erst mit dem vierten Patch. Immerhin sind diese Lücken in Bitdefender seit Anfang November jetzt alle behoben. Das geht dann wohl wieder vorne los, wenn sich jemand die nächste Analyse-Funktion für ein obskures Dateiformat vornimmt.
Update 13.11.2020, 9:30: Bitdefender bestätigte gegenüber heise Security, dass sich die Lücken möglicherweise ausnutzen ließen. Allerdings wäre das nicht so einfach wie im Artikel dargestellt. Darüber hinaus bedanke man sich bei dem Sicherheitsforscher, der dabei geholfen habe, die Produkte sicherer zu machen.
(ju)
