Avast: Simple Lücke machte Rechner angreifbar - und ist nicht allein

Sicherheit, Schlaf, Wachmann Bildquelle: Satish Krishnamurthy (CC BY 2.0)
Die Hersteller von Antiviren-Software demonstrieren derzeit wieder einmal eindrucksvoll, dass sie immer wieder eher Teil des Problems als der Lösung sind. Ein Sicherheitsforscher, der sich nur als Dave vorstellt, veröffentlichte nun auch die Beschreibung zu einer Sicherheitslücke, die Avast Antivirus auf Systemen öffnete, auf denen es installiert war.
Der Angriffsvektor führte über eine Funktionalität, die zu den grundlegenden Fähigkeiten von Virenscannern gehört: Das Parsen von verschiedenen Dateien. Es kommt immer wieder vor, dass in den entsprechenden Modulen für seltene Dateiformate Fehler gefunden werden, die bis dahin nie auffielen. Im Falle von Avast fand der Sicherheitsforscher das Problem aber im Code, der für extrem gebräuchliche Dateiformate zum Einsatz kommt.

Um an die Lücke heranzukommen, musste man die so genannte Magic Numbers-Prüfung attackieren. Dabei handelt es sich um ein Verfahren, mit dem die AV-Software bestimmt, mit welcher Datei man es zu tun hat - denn es wäre fahrlässig, sich dabei nur auf die Endung zu verlassen. In PDF-Dateien findet sich hierfür beispielsweise die Zeichenfolge "%PDF-" wieder, in RAR-Archiven lautet sie "Rar!". Avast verließ sich hier auch nicht auf ein einmalige Auffinden der entsprechenden Kennung, sondern führte weitergehende Prüfungen durch.


Einmal Überforderung bitte

Das machte sich der Sicherheitsforscher zu Nutze und überforderte die Dateierkennung mit einer Zeichenfolge wie "Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar! Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!Rar!%PDF-%PDF-%PDF-%PDF-%PDF-". Dies sorgte für eine Überlastung und die Möglichkeit, per Remote Stack Buffer Overflow eigenen Code einzuschleusen.

Entdeckt hatte der Sicherheitsforscher das Problem bereits im vergangenen Jahr und informierte daraufhin den Hersteller. Diese hat den Fehler auch schon längere Zeit behoben, Updates ausgeliefert und auch eine Belohnung an den Finder gezahlt. Allerdings ist die Sache damit nur bezüglich dieses einen Bugs ausgestanden.

"Wir konnten hier sehen, dass hochkritische Memory-Corruption-Bugs auch in sehr einfachen Funktionen auftreten können", erklärte Dave. "Man muss dafür nicht über die komplizierten File-Parser gehen." Er kündigte an, in der nächsten Zeit mit weiteren entsprechenden Veröffentlichungen nachzuweisen, dass der Avast-Bug kein Einzelfall ist. Entsprechend handelt es sich hier auch erst um den ersten Beitrag in einem neu eingerichteten Blog, das die Serie bereithalten soll.

Download Avast! Free Antivirus - Gratis Virenschutz Sicherheit, Schlaf, Wachmann Sicherheit, Schlaf, Wachmann Satish Krishnamurthy (CC BY 2.0)
Diese Nachricht empfehlen
Kommentieren7
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden