Thema: Kaspersky ...

[SiLæncer]

Der Antivirus-Hersteller Kaspersky Labs hat eine Web-basierten Virenscanner entwickelt. Dieser soll es ermöglichen, den PC nach Viren und anderen Schädlingen zu scannen, ohne eine Antivirus-Software installieren zu müssen. Die Lösung basiert auf der ActiveX-Technologie des Internet Explorers und steht daher nur Windows-Anwendern zur Verfügung. Benutzer anderer Betriebssysteme können die von Kaspersky schon länger angebotene Möglichkeit nutzen, einzelne Dateien via Browser zur Überprüfung an Kaspersky zu übertragen .

Das Angebot einer kostenlosen Virenprüfung über ein ActiveX-Modul gibt es bereits seit Jahren von mehreren anderen Antivirus-Herstellern, so etwa von Symantec, McAfee und Bitdefender. Der nun angelaufene Beta-Test von Kasperskys Pendant muss zeigen, ob sich der russische Hersteller durch interessante Features vom Mitbewerb absetzen kann.

Allen Online-Scannern dieser Art gemeinsam ist, dass man damit im Grunde durchaus einen Virenscanner installiert und auch bei jeder Nutzung Updates herunter geladen werden. Ein permanenter Virenschutz eines PCs ist auf diese Weise aber nicht möglich. Ein Online-Scan kann stets nur eine Momentaufnahme liefern und eignet sich daher eher als zweite Meinung, falls man den Eindruck hat, der installierte Virenschutz habe womöglich einen Schädling übersehen. Wer lieber mit Mozilla, Firefox oder anderen Browsern surft, kann bei Trend Micro einen Java-basierten Online-Scanner namens " Housecall " nutzen.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/109482/index.html

[SiLæncer]

Ausnutzung alter Windows-Sicherheitslücke befürchtet

Ein Mitarbeiter des Antiviren-Hersteller Kaspersky Labs berichtet, dass neue Varianten eines Trojanischen Pferdes gesichtet wurden, das sich über ein längst geschlossenes JPEG-Sicherheitsloch in Windows verbreitet. In Kürze könnte daher die Gefahr bestehen, dass sich entsprechende JPEG-Schädlinge im Internet verbreiten.

Die ersten Generationen des neu entdeckten Trojanischen Pferdes hätten noch Fehlfunktionen aufgewiesen, berichtet Costin Raiu, der Leiter der Entwicklungs- und Forschungsabteilung von Kaspersky Labs Rumänien, gegenüber ZDNet.co.uk. Raiu befürchtet jedoch, dass ein funktionsfähiger Schädling bereits in Kürze im Internet wüten könnte.

Das Trojanische Pferd nutzt eine im September 2004 bekannt gewordene Sicherheitslücke in Windows, für die bereits ein Patch zur Verfügung steht. Kurz nach Bekanntwerden des Sicherheitslochs wurde bereits eine Wurm-Welle erwartet, bei der das JPEG-Sicherheitsleck ausgenutzt wird. Bislang blieb es allerdings bei den Befürchtungen, ohne dass eine Schädlingswelle durch das Internet fegte.

Quelle : www.golem.de

[SiLæncer]

Durch einen Fehler in Kasperskys "Anti-Virus for Unix/Linux File Servers" kann ein angemeldeter Nutzer mit eingeschränkten Zugriffsrechten seine Rechte erweitern oder das System unbrauchbar machen. Ursache des Problems sind falsch gesetzte Rechte (777) auf das vom Scanner benutzte Log-Verzeichnis /var/log/kav/5.5/kav4unix/.

Damit lassen sich nach Angaben des Sicherheitsdienstleisters AERAsec Symlink-Attacken durchführen, um mit Root-Privilegien Dateien zu erzeugen oder etwa vorhandene Systemdateien zu überschreiben. Dazu genügt es, die Log-Datei zu entfernen und durch einen symbolischen Link zu ersetzen -- etwa auf /etc/passwd. Betroffen ist Version 5.5-2, wahrscheinlich auch vorhergehende. Kaspersky hat das Problem in Version 5.5-3 beseitigt.

Quelle und Links : http://www.heise.de/newsticker/meldung/62808

[SiLæncer]

Kasperskys Antivirus-Produkte verschlucken sich womöglich an speziell präparierten CAB-Dateien und führen eingeschleusten Code aus. Das berichtet Alex Wheeler, der ähnliche Heap Overflows auch schon in anderen Antiviren-Produkten gefunden hatte. Laut Wheeler betrifft der Fehler eine spezielle Bibliothek, die nicht nur in Kaspersky-eigenen Programmen, sondern auch diversen OEM-Produkten eingesetzt werden dürfte. Im Advisory nennt Wheeler die Version 5.0.20.0. Updates sind bislang keine verfügbar.


* Kaspersky Antivirus Library RemØte Heap Overflow Security      
* Advisory von Alex Wheeler

Quelle und Links : http://www.heise.de/newsticker/meldung/64527

[SiLæncer]

Die Antiviren-Engine von Kaspersky, häufig im Einsatz in Linux-Gateway-Servern oder auch in Dritthersteller-Antivirenscannern für Windows, patzt beim Verarbeiten von manipulierten CHM-Dateien: Durch einen Heap-basierten Pufferüberlauf ließe sich dadurch eingeschmuggelter Code ausführen. Über die von iDefense gemeldete Lücke könnte sich ein Angreifer ohne Nutzerinteraktion Zugriff auf das Linux-System verschaffen -- beispielsweise über präparierte E-Mail-Attachments, die serverseitig gescannt werden.

Unter Windows lässt sich über den Fehler scheinbar kein Code einschleusen, jedoch verweigern die Scanner nach Überprüfung einer defekten CHM-Datei weitere Scanvorgänge. Dadurch könnte weiterer Schadcode unbemerkt auf das System gelangen.

Betroffen sind die Versionen Kaspersky Personal 5.0.227, Kaspersky Anti-Virus On-Demand Scanner für Linux 5.0.5 und F-Secure Anti-Virus für Linux 4.50 sowie womöglich alle Produkte, die die Kaspersky-Engine einsetzen. Kaspersky Labs konnten den Fehler mit aktualisierten Signaturen beheben. Wer seinen Virenscanner also seit mehreren Wochen nicht aktualisiert hat, sollte dies jetzt schleunigst nachholen.

Siehe dazu auch:

    * Security Advisory von iDefense
    * Lücke in Kasperskys Antivirus-Bibliothek -- vor einer Woche gemeldeter Fehler beim Verarbeiten von CAB-Archiven

Quelle und Links : http://www.heise.de/security/news/meldung/64769

[SiLæncer]

Das Antivirenunternehmen Kaspersky Labs hebt seine Virenscanner und Internet-Security-Suite in Version 6.0 aus der Taufe. Wesentliche Neuerung ist die Integration einer Behavioural-Blocking-Engine, die Anwendungen zur Laufzeit überwacht und kritische Aktivitäten zu unterbinden versucht.

Ähnlich wie bei Pandas TruPrevent oder ZoneLabs Application-Firewall bewertet der proaktive Schutz Anwendungsaktivitäten wie die Installation von Treibern, dem Anlegen von Autostart-Registryschlüsseln oder die Anforderung von Netzwerks-Sockets. Ab einem gewissen Schwellenwert schlägt die Engine Alarm und versucht, die schädlichen Funktionen des Programms zu stoppen. Damit sollen noch unbekannte Schädlinge erkannt und unschädlich gemacht werden.

Die Internet-Security-Suite vereint in der neuen Ausführung alle Komponenten wie Antivirus für Dateien, Mails und Webseiten sowie Antispy, Antihacker und Antispam unter einer Oberfläche. In älteren Versionen war Kasperskys Internet Security ein simple Tool-Sammlung aus Antivirus und Antihacker ohne einheitliche Produktintegration.

Die Einzelplatzlizenz inklusive einem Jahr Updates und Support von Kaspersky Antivirus 6.0 kostet 30 Euro, die Internet Security 6.0 ist für 40 Euro erhältlich. Eine 3-Platz-Lizenz von Internet Security für Kleinunternehmen oder Heimnetzwerke soll mit 60 Euro zu Buche schlagen. Die neuen Programmversionen sind ab sofort im Handel verfügbar.

Siehe dazu auch:

    * Produktankündigung von Kaspersky

Quelle und Links : http://www.heise.de/newsticker/meldung/73156

[SiLæncer]

iDefense hat eine Lücke in Treibern von Kasperskys Antivirenlösung gemeldet, mit der ein am System angemeldeter, nicht privilegierter Anwender seine Zugriffsrechte ausweiten kann. Ursache des Problems sind die Treiber KLIN.SYS und KLICK.SYS, die beim Aufruf von Funktionen für I/O-Control die angegebenen Adressen nicht kontrollieren. Ein Angreifer kann nach Angaben von iDefense diese Adressen manipulieren, eigene Codesegmente in den Speicher schreiben und mit Systemrechten starten. Fast die gleiche Lücke in IOCTL entdeckte iDefense bereits kürzlich in Produkten von Symantec.

Betroffen sind die Treiber in der Version 2.0.0.281, wie sie in der Kaspersky Labs Anti-Virus Version 6.0.0.303 enthalten sind. Kaspersky hat den Fehler in den Treiberversionen 2.0.0.333 behoben, die über den Update-Service bezogen werden können.

Siehe dazu auch:

    * Kaspersky Labs Anti-Virus IOCTL Local Privilege Escalation Vulnerability, Fehlerbericht von iDefense


Quelle und Links : http://www.heise.de/security/news/meldung/79774

[SiLæncer]

Der Sicherheitsdienstleister iDefense meldet einen Fehler des Kaspersky-Virenscanners, der sich zu Denial-of-Service-Angriffen ausnutzen lässt. Ausführbare Windows-Dateien mit einem speziell präparierten PE-Header schicken den Scanner in eine Endlosschleife. Betroffen sind folgende Versionen der Kaspersky Antivirus Engine: 6.0 für Windows, 5.5-10 für Linux und eventuell auch ältere. Bereits seit dem 2. Januar hat Kaspersky automatisiert Updates verteilt, die dieses Problem beseitigen sollen. Weitere spezielle Patches sind laut Kaspersky nicht nötig.

Siehe dazu auch:

    * Security Advisory von iDefense

Quelle und Links : http://www.heise.de/security/news/meldung/83270

[SiLæncer]

Passend zum Vistastart haben die Experten des Sicherheitsunternehmens Kaspersky Lab die neuen Sicherheitsfunktionen von Vista - wie User Account Control (UAC), Kernelschutz von Vista, Driver Signing und Protected Mode des Internet Explorer 7 - kritisch unter die Lupe genommen. Ihr Fazit: Vista ist sicherer als die vorhergehenden Systeme von Microsoft, aber…

Gestern haben wir darüber berichtet , wie das Sicherheitsunternehmen Webroot die Sicherheitsfunktionen von Microsoft kritisiert. Allerdings ging Webroot bei seinen Äußerungen nicht ins Detail, Webroots Kritik las sich fast wie Werbung für die Schutzsoftware des Sicherheitsunternehmens.

Jetzt hat auch Kaspersky Lab eine öffentliche Analyse zu den Sicherheitsmechanismen vorgelegt. Konkret nahmen sich die Experten die User Account Control, den Kernelschutz von Vista, Driver Signing und den Protected Mode des Internet Explorers 7 zur Brust. Wir fassen die Ergebnisse dieser Analyse zusammen.

User Account Control (UAC) ist bekanntlich ein Feature zur Kontrolle der Benutzerrechte. Jeder Benutzer verfügt standardmäßig über reduzierte Rechte. Versucht man eine Aktion auszuführen, für die man keine Rechte besitzt, so verlangt das System eine Bestätigung durch den Benutzer (wenn dieser den Status "Administrator" hat) oder die Eingabe des Administrator-Passworts (wenn es sich um einen "Standardanwender" handelt). Davon sind beispielsweise Aktionen wie die Installation von Anwendungen und Treibern, das Hinzufügen von Dateien in den Systemverzeichnissen sowie Änderungen in der Systemkonfiguration betroffen. UAC dürfte deshalb von vielen Anwendern als ausgesprochen nervig empfunden werden und diese dazu verleiten, diese Funktion in der Systemsteuerung von Vista einfach abzuschalten. Zumal es sich bei vielen solchen durch die UAC erschwerten Aktionen um völlig legale Maßnahmen handelt.

Deshalb bewertet Kaspersky Lab die UAC als "nicht ernstzunehmenden Schutz vor Schadprogrammen". Und weiter: "Eine Funktion, die an den Nerven des Anwenders zerrt, wird mit großer Wahrscheinlichkeit abgeschaltet werden. Oder aber der Nutzer erlaubt die fragliche Aktion, ohne den Inhalt der Mitteilung überhaupt zu beachten."

Nur für Anwender mit Administratorrechten will Kaspersky Lab einen Gewinn an Sicherheit erkennen, "wenn eine Anwendung keine umfangreichen Privilegien verlangt - denn dann wird sie auch im Administrator-Modus mit minimalen Rechten ausgeführt. Eine in einer derartigen Anwendung entdeckte Verwundbarkeit ist weit weniger kritisch als eine Verwundbarkeit in einer 'hoch privilegierten' Anwendung."


Kernelschutz von Vista

Der Kernelschutz von Vista besteht bei 64-Bit-Systemen aus mehreren Komponenten. Damit will Microsoft den Kernel von Vista vor Modifikationen schützen und beispielsweise Rootkits aussperren.

Ein Bestandteil des Kernelschutzes von Vista 64 Bit ist Patchguard. Zwar erkennt es Veränderungen in Zusammenhang mit dem Kernel, doch gibt es "genau beschriebene Methoden zur Deaktivierung des Schutzes". Das erleichtert Kaspersky Lab zufolge Angreifern ihre Attacke. Zudem wird der Patchguard-Schutzcode auf demselben Level ausgeführt wie die geschützte Software und wie der Code vor dem geschützt werden soll. Patchguard besitzt also die gleichen Rechte wie potentielle Angreifer und kann, wie Kaspersky Lab befürchtet, umgangen oder deaktiviert werden. Techniken hierzu seien bereits bekannt. Immerhin erkennen die Sicherheitsexperten an, das Patchguard die Stabilität des Windows-Systems erhöht, weil es legale Software davon abhält, den Kernel zu modifizieren.

Unternehmen jedoch, die wie Kaspersky Lab Schutzsoftware herstellen, würden in ihrer Arbeit behindert, weil sie aufgrund des restriktiven Kernelschutzes nicht mehr alle Funktionen ihrer Schutzsoftware zum Einsatz bringen könnten. Darüber hatten sich in der Vergangenheit bereits einige Sicherheitsunternehmen beklagt.

Der zweite Mechanismus zum Schutz des Kernels von Vista ist die Forderung nach digitalen Signaturen für jedes Modul und für jeden Treiber auf Kernelebene. Das Ganze läuft unter den Bezeichnungen "Mandatory Kernel Mode" und "Driver Signing".

Microsoft bietet Treiber-Programmierern aber verschiedene Möglichkeiten, um diesen Schutz zu umgehen. Das ist nötig, damit Firmen Treiber für Vista entwickeln und testen können. Von diesen Möglichkeiten können natürlich auch Angreifer Gebrauch machen. Zusätzlich wurde seinerzeit bereits im RC2 von Vista eine Möglichkeit entdeckt, diesen Schutz zu umgehen (Microsoft hat diese Lücke bereits geschlossen). Man muss also befürchten, dass Hacker auch beim Final Release von Vista Mittel und Wege finden, auf den derart geschützten Kernel zuzugreifen.

Ein genereller Kritikpunkt von Kaspersky Lab betrifft auch die Verfügbarkeit von Patchguard als Wachhund für den Kernel sowie die Überprüfung der Treiber-Signaturen: Beide Techniken stehen nämlich nur für 64-Bit-Rechner zur Verfügung. Für Vista mit 32 Bit gibt es keinen derartigen speziellen Schutz vor Rootkits.


Sicherheits-Mechanismen des Internet Explorers 7

Der Internet Explorer war in der Vergangenheit eines der Haupteinfallstore für Hacker. Um dieses Problem grundlegend zu beseitigen oder zumindest einzugrenzen, schuf Microsoft unter anderem den "geschützten Modus" (Protected Mode) beim Internet Explorer 7. Der Browser wird mit geringen Systemrechten ausgeführt, um den Zugriff auf das Dateisystem, die Registry und andere Bereiche einzuschränken.

Der geschützte Modus kann vom Benutzer für jede Zone einzeln aktiviert oder deaktiviert werden. In der Standardeinstellung ist er für die vertrauenswürdigen Knoten (in der Trusted Zone) deaktiviert.

Ein weiterer Schutzmechanismus ist ActiveX Opt-in: Alle ActiveX-Controls sind grundsätzlich verboten, es sei denn sie werden vom Benutzer explizit zugelassen. ActiveX ließ sich aber auch schon bei Vorgängerversionen des IE 7 abschalten, das ist also nicht grundsätzlich neu. Da bei abgeschaltetem ActiveX aber auch Flash nicht mehr funktioniert - wie sicherlich die meisten Anwender schon leidvoll erfahren mussten - dürften viele Anwender dazu neigen, ActiveX nachträglich generell einzuschalten. Die Schutzwirkung verpufft damit.

Das Fazit von Kaspersky Lab: Vista ist sicherer als ältere Windowsversionen. Aber viele Schutz-Funktionen nerven und können Anwender dazu verführen, sie abzuschalten. Vista dürfte wie alle Windowssysteme vor ihm den Ehrgeiz der Hacker herausfordern, es auf Schwachstellen zu testen. Und damit scheint sicher, dass auch etliche Schwächen und Sicherheitsmängel entdeckt werden. Und weiter: "Unserer Meinung nach sind die gegenwärtig in Vista realisierten Sicherheitsfunktionen nicht ausreichend, um ohne weiteres von zusätzlichen Sicherheitsvorkehrungen abzusehen". Sprich: Sie sollen zusätzliche Schutzsoftware wie beispielsweise Virenscanner einsetzen.

Sie können die Analyse von Kaspersky Lab hier in voller Länge nachlesen.

http://www.viruslist.com/de/analysis?pubid=200883512

Quelle: pcwelt.de

[SiLæncer]

Der Sicherheitsdienstleister iDefense hat eine Schwachstelle in Kaspersky-Virenscannern gemeldet, die vor dem 7. Februar dieses Jahres erschienen. Das Antivirus-Programm konnte durch die Analyse von präparierten, mit dem Laufzeitpacker UPX komprimierten Dateien in eine Endlosschleife geraten. Angreifer könnten dadurch E-Mail-Server oder Clients vollständig auslasten und lahmlegen.

Laut der Sicherheitsmeldung konnte Kasperskys Entpackroutine für UPX durch einen negativen Offset für den Datenbereich in der Datei ein- und denselben Datenabschnitt endlos bearbeiten. Der russische Antivirenhersteller hat die Lücke am 7. Februar dieses Jahres abgedichtet. Die aktualisierten Softwareversionen wurden bereits per automatischem Update ausgeliefert.

Siehe dazu auch:

    * Kaspersky AntiVirus UPX File Decompression DoS Vulnerability, Sicherheitsmeldung von iDefense

Quelle und Links : http://www.heise.de/security/news/meldung/86166

[SiLæncer]

Die Hersteller von Sicherheitssoftware könnten nach Ansicht des russischen Spezialisten Eugene Kaspersky den Kampf gegen die wachsende Internet-Kriminalität verlieren. "Wenn das Wachstum bei der Schadsoftware in diesem Tempo weitergeht, könnte unsere gesamte Branche dieser Flut irgendwann nicht mehr standhalten", sagte Kaspersky auf der Computermesse CeBIT. Die Zahl von Programmen, die übers Internet Computer angreifen, sei 2006 um das 2,5-fache gestiegen. Für dieses Jahr rechne er mit einem ähnlichen Wachstum. "Deshalb setzte ich mich für eine Art Internet-Interpol ein. Auch die beste Sicherheitssoftware allein könnte bald nicht mehr reichen", betonte der Gründer des russischen Antiviren-Unternehmens Kaspersky Lab.

Die Entwickler von Schadsoftware seien in vieler Hinsicht im Vorteil. "Sie sind viele und sie sind unabhängig voneinander in der Welt verstreut, während die Flut ihrer Programme von einer Handvoll Unternehmen aufgehalten werden muss. Und für sie gibt es mit dem Internet keine Grenzen." Internet-Kriminelle aus Russland griffen britische Banken an, Brasilianer nähmen spanische Internet-Nutzer ins Visier – die Sicherheitsbehörden agierten dagegen aber hauptsächlich innerhalb der nationalen Grenzen.

"Wir haben es immer mehr mit einer weltweiten Industrie zu tun, die tausende Menschen beschäftigt. Ich würde mich nicht wundern, wenn sie Beträge umsetzt, die über den Erlösen der Sicherheitssoftware-Branche liegen", sagte Kaspersky. Schließlich gehöre zur Internet-Kriminalität eine Begleitinfrastruktur wie Geldwäsche.

Sorgen macht Kaspersky die Kampagne für eine stärkere Verbreitung Internet-tauglicher Computer in Schwellenländern und der dritten Welt. Gerade in ärmeren Ländern sei die Verlockung größer, Geld mit Internet-Kriminalität zu verdienen. "Aus Afrika kommt heute so gut wie keine Schadsoftware. Wenn Afrika dazu kommt, wird der Druck noch größer werden", warnte Kaspersky.

Die meisten neuen Schadprogramme derzeit seien Trojaner, sie sich unbemerkt auf dem Computer einnisten. Ein zunehmendes Problem seien auch mutierende Programme, die sich bei jedem jedem Nachladeversuch leicht veränderten. "Normalerweise kann man ein Gegenmittel für einen Trojaner schon nach wenigen Sekunden parat haben. Bei solcher Software muss man erst ein Gegenprogramm schreiben. Das kann eine Stunde, zwei Stunden oder einen ganzen Tag dauern. In dieser Zeit ist man ungeschützt."

Quelle : www.heise.de

[SiLæncer]

Der Hersteller von Antivirenprogrammen Kaspersky hat das Maintencance Pack 2 für Kaspersky Anti-Virus 6.0 und Kaspersky Internet Security 6.0 veröffentlicht, das mehrere, teils kritische Sicherheitslücken beseitigen soll. So ist es Angreifern durch Fehlern in den installieren ActiveX-Controls AxKLProd60.dll und AxKLSysInfo.dll möglich, beliebige Dateien vom Rechner eines Opfers herunterzuladen oder zu löschen. Das Gleiche ist mit dem SysInfo-ActiveX-Control möglich, mit dem sich auf dem Rechner des Anwenders ein FTP-Transfer ohne Authentifizierung und ohne Nachfrage beim Anwender starten lässt. In allen drei Fällen muss das Opfer allerdings eine bösartige Webseite mit dem Internet Explorer besuchen. Das Maintenance Package beseitigt die Lücken zwar, aber nicht durch eine Korrektur des Fehlers, sondern indem es während der Installation die verwundbaren Controls einfach löscht.

Zudem finden sich zwei Heap Overflows in Kasperskys Produkten. Einer davon lässt sich beim OnDemand-Scan mit präparierten ARJ-Archiven provozieren; darüber lässt sich der Scanner zum Absturz bringen oder Code einschleusen und starten. Der andere Überlauf tritt durch einen Fehler in einer Hook-Funktion des Treibers klif.sys auf, Angreifer könnten damit Code mit Kernel-Rechten ausführen. Nach Angaben des Entdeckers der Lücke, der Sicherheitsdienstleister iDefense, soll sich diese Lücken aber nur sehr schwer ausnutzen lassen. Schließlich ermöglicht ein weiterer Fehler in diesem Treiber, Programme mit höchsten Privilegien (Ring-0) auszuführen. Die Fehler sind im Build 6.0.2. 614 behoben.

Anwender sollten die Produkt-Updates so bald wie möglich herunterladen und installieren.

Siehe dazu auch:

    * Kaspersky Anti-Virus 6.0, Kaspersky Internet Security 6.0 - 5 vulnerabilities fixed in Maintenance Pack 2.0 build 6.0.2.614, Fehlerbericht des Kaspersky
    * Kaspersky AntiVirus SysInfo ActiveX Control Information Disclosure Vulnerability, Fehlerbericht von iDefense
    * Kaspersky Internet Security Suite klif.sys Heap Overflow Vulnerability, Fehlerbericht von iDefense

Quelle und Links : http://www.heise.de/security/news/meldung/87896

[SiLæncer]

Das Maintenance Pack 2 ist zwar bereits seit Februar verfügbar, allerdings gab Kaspersky bei der Veröffentlichung nur an, dass das Produkt nun Vista-kompatibel sei. Informationen zu den damit beseitigten kritischen Sicherheitslücken gab es erst jetzt.

Quelle : www.heise.de

[SiLæncer]

Kasperskys Sicherheitsprodukte enthalten einen Treiber, der sich in Windows-Systemfunktionen einklinkt und Aufrufe davon überwacht. Dabei übergebene Parameter überprüft der Treiber jedoch nicht korrekt, sodass Angreifer mit ungültigen Daten betroffene Systeme abstürzen lassen können. Der Sicherheitsdienstleister MatouSec schließt nicht aus, dass sich so auch Schadcode einschleusen und mit Systemrechten ausführen ließe, hat dies jedoch nicht überprüft oder nachgewiesen.

Sicherheitsprodukte klinken sich häufig in Systemfunktionen ein, um den Rechner zu überwachen. Durch die Überwachung der Aufrufe von Funktionen der System Service Descriptor Table (SSDT) lässt sich herausfinden, welche Programme auf dem Rechner aktiv sind und was sie machen – ein Behavioral Blocker kann dadurch Rückschlüsse auf schädliches Verhalten ziehen. Auch der Selbstschutz der Sicherheitssoftware lässt sich so umsetzen, indem sie Aufrufe unterbindet, die Modifikationen des eigenen Prozesses zur Folge haben.

Der Kaspersky-Treiber kilf.sys hakt sich unter anderem in die Systemfunktionen NtCreateKey, NtCreateProcess, NtCreateProcessEx, NtCreateSection, NtCreateSymbolicLinkObject, NtCreateThread, NtLoadKey2, NtOpenKey und NtOpenProcess ein. Ruft ein Programm diese Funktionen mit ungültigen Werten auf, stürzt der Rechner ab und startet neu. Der Sicherheitsdienstleister stellt in seiner Meldung ein Programm bereit, mit dem man dieses Verhalten nachvollziehen kann. Bei einem Test von heise Security stürzte dadurch Kasperskys Antivirus 6 mit allen aktuellen Patches unter Windows XP reproduzierbar ab.

Eine Sicherheitsmeldung von EP_X0FF erläutert die angeblich schon seit Langem vorhandene Schwachstelle in Kasperskys Treiber anhand der Funktion NtOpenProcess. Kaspersky hat darauf mit einem eigenen Fehlerbericht reagiert und einen Patch angekündigt, den das Unternehmen in Kürze via automatischem Update verteilen will. Das Sicherheitsrisiko stuft Kaspersky als niedrig ein, schließlich müsse ein lokaler Anwender dazu von Hand schädliche Software starten. Laut Kaspersky ermöglicht die Schwachstelle keine Ausweitung der Rechte oder die Ausführung von fremden Code. Betroffen sind Kaspersky Antivirus 6 und 7, Internet Security 6 und 7, Anti-Virus for Windows Workstations 6 sowie Anti-Virus 6 for Windows Servers unter den Betriebssystemen Windows NT bis Windows 2003 – unter Windows Vista verursacht das Beispielprogramm keinen Absturz.

Die sich in jüngster Zeit häufenden Funde von Schwachstellen in Software, die eigentlich der Sicherheit der Rechner dienen soll, wirft ein schlechtes Licht auf die Branche: Zahlreiche Antivirenhersteller, darunter F-Secure, Grisoft oder Avira, mussten kürzlich Sicherheitslücken wie Pufferüberläufe, Format-String-Schwachstellen oder einfach fehlende Überprüfungen von Benutzereingaben in ihren Produkten schließen, die sich häufig auf Pfusch oder fehlende Erfahrung der Entwickler zurückführen lassen. Dabei steht Antivirensoftware an vorderster Front gegen die Angreifer aus dem Netz und ist somit besonders unter Beschuss. Die Antivirenhersteller geben oft Ratschläge, wie man Software sicherer machen könnte. Hoffentlich animieren die jüngsten Vorkommnisse sie, ihren eigenen Ratschlägen zu folgen. Gerade bei Sicherheitssoftware sollte schließlich die Sicherheit eine zentrale Rolle auch in der Entwicklung spielen.

Siehe dazu auch:

    * Kaspersky Multiple insufficient argument validation of hooked SSDT function Vulnerability, Sicherheitsmeldung von MatouSec
    * Exploiting Kaspersky Antivirus 6.0-7.0, Fehlermeldung von EP_X0FF
    * KLV07-07.Klif.sys calling NtOpenProcess vulnerability, Fehlerbericht von Kaspersky

Quelle und Links : http://www.heise.de/security/news/meldung/91275

[SiLæncer]

Der Sicherheitsdienstleister Matousec hat neben Informationen zu Schwachstellen in Treibern von diversen Sicherheitsprodukten auch ein Werkzeug veröffentlicht, mit dem interessierte Nutzer und Programmierer selber die saubere Implementierung von Kernel-Modus-Treibern überprüfen können. Die Treiber der Windows-Sicherheitslösungen klinken sich in Systemfunktionen im System Service Descriptor Table (SSDT) ein, um den Rechner zu überwachen. Dabei filtern sie jedoch häufig an sie übergebene Parameter nicht ordentlich, wodurch dann Fehler im Kernel-Kontext auftreten, durch die das System etwa abstürzt oder untergeschobener Code zur Ausführung kommt. Lokale Anwender können dann beispielsweise ihre Rechte im System ausweiten.

In der Analyse beschreiben die Sicherheitsexperten von Matousec, wie es zu den häufiger gefundenen Fehlern kommt – und wie Programmierer sie vermeiden können. Auch Microsoft stellt Dokumente bereit, die Richtlinien für die saubere Treiberprogrammierung beschreiben.

Matousec stellt in der Analyse auch das Werkzeug BSODhook vor und bietet es kostenlos zum Download an. Damit können Programmierer und interessierte Anwender Systemfunktionen, in die sich etwa Sicherheitssoftware eingeklinkt hat, mit unterschiedlichen Parametern aufrufen. Wenn ein Treiber einen Aufruf nicht ordentlich filtert, kommt es in der Regel zu einem Systemabsturz – alle nicht gespeicherten Änderungen im System gehen dann verloren.

Mit BSODhook haben die Forscher in zahlreichen Sicherheitsprodukten fehlerhafte Treiberimplementierungen aufgespürt. Betroffen sind laut der Matousec-Analyse folgende Produkte:

    * BlackICE PC Protection 3.6.cqn
    * G DATA InternetSecurity 2007
    * Ghost Security Suite beta 1.110 and alpha 1.200
    * Kaspersky Internet Security 7.0.0.125
    * Norton Internet Security 2008 15.0.0.60
    * Online Armor Personal Firewall 2.0.1.215
    * Outpost Firewall Pro 4.0.1025.7828
    * Privatefirewall 5.0.14.2
    * Process Monitor 1.22
    * ProcessGuard 3.410
    * ProSecurity 1.40 Beta 2
    * RegMon 7.04
    * ZoneAlarm Pro 7.0.362.000

Bei den meisten Produkten handelt es sich um die aktuellen Versionen, für die es derzeit noch keine Updates gibt.

Siehe dazu auch:

    * Analyse und Download von Matousec -> http://www.matousec.com/projects/windows-personal-firewall-analysis/plague-in-security-software-drivers.php

Quelle : www.heise.de