Gefährliche Antiviren-Software

Wer glaubt, durch das Hintereinanderschalten diverser Scan-Software unterschiedlicher Hersteller könne die Sicherheit im Netzwerk gesteigert werden, irrt sich. Im Gegenteil erhöht sich bei diesem Vorgehen die mögliche Angriffsfläche. Grund: Die Antiviren-Software aller bekannten Hersteller weist selbst Sicherheitslücken auf, die Hacker ausnutzen können, um in Firmennetze einzudringen.

Thierry Zoller, Spezialist der deutschen Security-Expertin N-Runs, hat mit seinem Team bereits mehr als 80 solcher Löcher in Security-Software entdeckt. Und für die wenigsten der Lücken existieren Patches.

Besonders betroffen ist eine der Kernfunktionen der Antivirenprodukte: das Parsen von Dateiformaten. Hierbei werden die zu untersuchenden Daten in analysierbare Einzelteile zerlegt. Bei dieser Arbeit verlassen sich Virenscanner auf die Formatvorgaben der Hersteller. In der Folge wird der Inhalt oder die Grösse der Informationen nicht mehr überprüft. «Durch Fehlannahmen beim Parsen wird es möglich, Schadcode ins System einzuschleusen und auszuführen», erklärt Zoller. Dadurch können Hacker den Virenschutz aushebeln und Systeme wie etwa den E-Mail-Server unter ihre Kontrolle bringen.

Die Hersteller von Sicherheitssoftware bestätigen, dass ihre Programme ein Angriffsziel darstellen können. So räumt etwa Jens Freitag, Technischer Berater bei Sophos, ein, dass in seinen Labors vermehrt Versuche festgestellt wurden, den Virenscanner ausser Gefecht zu setzen. Auf gewisse Angriffsversuche, etwa die Erzwingung eines Pufferüberlaufs, habe man allerdings bereits reagiert und entsprechende Kontrollmechanismen eingebaut.

Auch N-Runs-Experte Thierry Zoller stellt eine Lösung des Problems in Aussicht. Seine Firma entwickelt derzeit mit «Parsing-Safe» ein Produkt, welches Antiviren-Software vor den beschriebenen Parsing-Attacken schützen soll.

www.nruns.com