Antiviren-Software soll die Sicherheit erhöhen – trägt aber mitunter auch wesentlich dazu bei, dass ein System erst angreifbar wird, bilanziert Joxean Koret in seinem Vortrag Breaking Antivirus Software (PDF) auf der Syscan-360-Konferenz. Koret hat 17 Antiviren-Programme untersucht und in 14 davon teilweise kritische Sicherheitslücken entdeckt. Als besonders fehlerhaft hob er Bitdefender hervor, dessen Engine unter anderem auch G Data und F-Secure einsetzen; aber auch bei Avira, AVG, Avast, Panda lokalisierte er kritische Fehler.

Erschwerend hinzu kommt, dass alle AV-Programme mit hohen Systemrechten laufen und teilweise auch Schutzmechanismen des Betriebssystems außer Kraft setzen. So würde kaum ein AV-Produkt alle Komponenten mit der Speicherverwürfelung ASLR ausliefern. Außerdem setzen sie keine Sandbox ein, wie es in Browsern oder PDF-Viewern mittlerweile üblich sei. Ein in Antiviren-Software gefundener Fehler ließe sich viel einfacher ausnutzen als in einem Browser, so Korets vernichtendes Urteil.

Lücken beinahe überall

Bereits 2007 bis 2009 hatte der Sicherheitsspezialist Thierry Zoller systematisch Antiviren-Software auf Schwachstellen untersucht. In nahezu jeder AV-Software entdeckte er Sicherheitslücken, mit denen sich das System angreifen ließ, das sie eigentlich schützen sollten. Zu den untersuchten Scannern gehörten Avast, Avira, AVG, BitDefender, CA, ClamAV, Eset NOD32, F-Secure, Kaspersky, Norman, Panda, Sophos und Trend Micro. "Das sind teilweise die gleichen Arten von Fehlern, wie ich sie damals gefunden habe" schüttelt Zoller, der mittlerweile bei Verizon als Sicherheitsberater arbeitet, nach der Lektüre von Korets Vortragsunterlagen den Kopf.

Kombiniert man das mit den Ergebnissen von Zollers Kollegen Jérôme Nokin, ergibt sich ein richtig düsteres Bild. Der hatte sich letztes Jahr unter anderem die AV-Management-Lösung McAfee ePolicy Orchestrator vorgenommen. Der Titel des resultierenden Vortrags spricht Bände: Turning your managed Anti-Virus ... into my Botnet. Das schlimmste daran: Selbst ein Jahr später entdeckte er immer noch verwundbare ePo-Server im Internet.

Aus aktuellem Anlass dazu nochmal:

Antiviren-Software als Einfallstor, Kommentar auf heise Security von 2007

(ju)