Mängel beim Selbstschutz von Antiviren-Software
Nur 2 von 32 getesteten Antivirus-Produkten setzen eigentlich selbstverständliche Schutztechniken wie DEP und ASLR auch wirklich konsequent ein, stellte das deutsche Testlabor AV-Test fest.
(Bild: AV-Test)
Das Antiviren-Testlabor AV-Test hat untersucht, wie konsequent die Hersteller von Antiviren-Software etablierte Techniken nutzen, um ihre Antiviren-Software vor Angriffen durch Sicherheitslücken zu schützen. Die Ergebnisse sind keinswegs zufriedenstellend: Etwa die Hälfte der 32 getesteten AV-Hersteller nutzen Schutz-Techniken wie ASLR und DEP nur für weniger als 90 Prozent ihrer Komponenten, darunter Norman, Trend Micro, Panda und Bitdefender.
Um Angreifern das Ausnutzen von Sicherheitslücken zu erschweren, haben sich im Windows-Bereich zwei Techniken etabliert: Data Execution Prevention (DEP) verhindert das Ausführen von Code, der sich in Datenbereichen versteckt – also etwa dort, wo bei einem Bild die eigentlichen Bild-Informationen liegen. Address Space Layout Randomisation (ASLR) sorgt dafür, dass etwa Standardfunktionen wie solche zum Öffnen von Dateien auf jedem System an einer anderen Speicheradresse liegen und somit nicht durch einen einfachen Sprung an eine feste Adresse aktiviert werden können. Beide Techniken lassen sich zwar austricksen, aber sie erschweren es einem Angreifer deutlich, eine einmal gefundene Sicherheitslücke in einem Programm auch tatsächlich für seine eigenen Zwecke zu missbrauchen.
Lediglich Eset bei den Consumer-Produkten und Symantec bei seiner Firmen-Lösung setzen beide Techniken konsequent – also bei hundert Prozent aller Dateien ein. Avira, G Data, McAfee und AVG tun dies zumindest bei den 64-Bit-Versionen. Insgesamt liegt das Schutzniveau bei den 64-Bit-Lösungen und im Business-Bereich höher. Nur bei etwa der Hälfte alle Produkte weist Av-Test zumindest einen Wert von über 90 Prozent aus.
Dass Antiviren-Software keine oder zumindest weniger Sicherheitslücken aufweise, die sich ausnutzen ließen, um Systeme anzugreifen, ist ein weit verbreiteter Irrglaube. Erst kürzlich untersuchte Joxean Koret 17 Antiviren-Programme auf Sicherheitslücken und entdeckte in 14 davon teilweise kritische Probleme. Auch Koret betonte bereits, dass der bei AV-Software verbreitete Verzicht auf ASLR und DEP es viel leichter mache, solche Fehler auch tatsächlich auszunutzen. Die Hersteller begründen diese Mängel im Selbstschutz zum Teil mit zugekauften Bibliotheken oder eigenen Schutztechniken, die zum Teil mit DEP und ASLR nicht kompatibel seien. (ju)
