Zu viele Rechte bei Antivirensoftware

Diverse Virenscanner erlauben jedermann Vollzugriff auf die Installationsverzeichnisse, Update-Ordner oder einzelne Dateien, wie Analysen der c't ergaben. Dadurch lassen sich die Virenscanner von eingeschränkten Nutzern löschen, Programme könnten mit höheren Rechten ausgeführt oder Updates blockiert werden.

Von dem Problem sind verschiedene Antivirenprodukte in unterschiedlichen Ausprägungen betroffen. Große Teile des Programmverzeichnisses können eingeschränkte Nutzer in Pandas Platinum 2006 Internet Security, Trend Micros PC Cillin 14, McAfee und Avast beliebig manipulieren. Bis auf den McAfee-Scanner lassen sich diese Antivirenprodukte durch Anwender mit eingeschränkten Accounts so weit löschen, dass sie nicht mehr funktionstüchtig sind.

In GDatas AntiVirenKit 2006 sind die Update-Ordner für jedermann zugänglich. Bei F-Secures Internet-Security-Suite ist der Unterordner backweb\4476822\Users frei zugänglich, Norton erlaubt den Vollzugriff auf die Firewall-Regeln, die Intrusion-Detection-Einstellungen und die Dateien LocationMap.dat sowie Validate.dat. CAs EzTrust gibt das Verzeichnis ArcTemp frei, Grisofts AVG einzelne Dateien.

Einige der Scanner erlauben es, eingeschleusten Code mit Administrator- oder Systemrechten auszuführen. Ein Angreifer müsste dazu nur eine vorhandene Datei, die vom Virenscannerdienst mit Systemrechten aufgerufen wird, mit der eigenen Schadsoftware überschreiben. GDatas AntiVirenKit ließe sich von Updates abschneiden.

Einige der von c't benachrichtigten Hersteller reagierten schon mit Produktaktualisierungen. AVG wurde von den Grisoft-Entwicklern schon vor zwei Wochen ausgebessert. Panda hat eine neue Version der Software zum Download bereitgestellt – nach einem normalen Software-Update gelang es in einem kurzen Test jedoch noch, den Scanner mit dem Löschen von über 100 Dateien als eingeschränkter Benutzer aus dem Programmverzeichnis außer Betrieb zu nehmen. Panda-Nutzer sollten daher den neuen Installer aus dem Netz herunterladen und installieren, da das Update offensichtlich nicht über den integrierten Mechanismus ausgeliefert wird.

Trend Micro arbeitet an einem Update, das derzeit noch lokalisiert wird. Die Version PC Cillin 14.1 soll dann den Bugfix enthalten. GData will in Kürze einen neuen Update-Mechanismus einführen, der ohne Vollzugriff auf die Update-Ordner auskommt. Symantec lässt das Löschen der Dateien nicht zu – zwar verschwinden die Dateien zuerst im Explorer, aktualisiert man die Ansicht jedoch, sind die Dateien wieder vorhanden. Mehrere Antivirenproduzenten reagierten noch nicht auf die Anfragen. Andere Virenscanner aus dem c't-Virenscannertest im Heft 26/05 wie Antivir, Bitdefender, Ikarus, Kaspersky, NOD32 und Norman sind von dem Problem nicht betroffen. (dmk)