Antivirensoftware erlaubt Datenklau über die Cloud

Zwei Sicherheitsforscher haben auf der Hacker-Konferenz Def Con gezeigt, wie leicht es ist, an geschützte Daten zu gelangen. Und das ausgerechnet mithilfe verschiedener Antivirus-Lösungen. Betroffen sind beziehungsweise waren die Suiten Avira Antivirus Pro, Comodo Client Security, ESET NOD32 und Kaspersky Total Security 2017. Diese Programme laden verdächtige Dateien zur besseren Analyse in die Cloud des Herstellers. Unternehmen mit hohen Sicherheitsanforderungen arbeiten zwar oft ohne Netzwerkzugriff, um ihre Daten vor Fremdzugriffen optimal zu schützen. Dadurch wird verhindert, dass jegliche Daten das eigene System verlassen können. Dies gilt aber nicht für Antiviren-Software. Etwa um automatische Updates zu erhalten, ist hier die Netzwerkverbindung aktiviert, oder aber um verdächtige Daten besser analysieren zu können. Und genau hier besteht die Gefahr, so die Sicherheitsforscher. In ihrem 21-seitigen Bericht (PDF) beschreiben sie folgendes Szenario für den Versuch: Das System hat keine Netzwerkverbindung, mit Ausnahme für Updates des Betriebssystems und des Antivirenprogramms. Über einen USB-Stick wurde dann eine Malware auf das System gespielt. Die Schadsoftware, die die Entwickler «Rocket» getauft haben, sammelt nun verschiedene «interessante» Daten in einer ausführbaren Datei. Nun macht diese Datei die Antiviren-Software absichtlich auf sich aufmerksam, um zur Analyse in die Sandbox der Cloud verschoben zu werden. Sobald die Datei in der Cloud-Sandbox der Antiviren-Hersteller ausgeführt wird, sendet sie automatisch die zuvor aufgezeichneten Informationen an die Server des Angreifers.

Getestet wurden zehn verschiedene Sicherheitslösungen. Bei vier davon hatten die Forscher mit ihrem Angriffsversuch Erfolg: Avira Antiviurs Pro, ESET NOD32 Antivirus, Kaspersky Total Security 2017 und Comodo Client Security. Während Avira, ESET und Comodo ihre Programme bereits gefixt haben, liess Kaspersky die Sicherheitsforscher lediglich wissen, dass besorgte Nutzer den Upload in die Sandbox deaktivieren sollten. Ausserdem haben die Forscher die Methode an verschiedenen Cloud-basierten Analyse-Tools ausprobiert. Auch hierbei waren sie teilweise erfolgreich. Joe Security haben den Fehler umgehend behoben. Payload Security hingegen beschloss, keinen Kommentar dazu abzugeben und VirusTotal teilte sogar mit, dass ein Fix nicht geplant sei.