|  |
Die Parsingfalle: Wenn die Antivirensoftware zum Spion wird …
Die Platzierung von Virenscannern an zentralen Stellen in der IT-Infrastruktur stellt ein potenzielles Sicherheitsrisiko dar. Eine Aussage, die auf den ersten Blick paradox erscheint, jedoch den Tatsachen entspricht. Sicherheitsexperten haben in den vergangenen Monaten mehrere hundert Schwachstellen in allen gängigen Antivirenlösungen aufgespürt. Das Ergebnis der Tests ist alarmierend: Anstatt ausreichenden Schutz zu bieten, öffnen sie Angreifern die Tür und ermöglichen es ihnen, in Firmennetzwerke einzudringen und diese mit Schadcode zu infiltrieren.
Auf der diesjährigen Blackhat Europe wurden Untersuchungen präsentiert, die besagen, dass in den vergangenen vier Jahren 164 Sicherheitslücken in AV-Lösungen aufgetaucht sind. Monatelange Testreihen von IT-Sicherheitsspezialisten der Firma n.runs haben dies bestätigt und gezeigt, dass jeder der am Markt befindlichen Virenscanner gleich mehrere hochkritische Schwachstellen aufweist. Und die Tendenz ist steigend: Laut der Statistik der Universität Michigan wurden zwischen 2002 und 2005 insgesamt 50 Advisories zu Sicherheitslücken in Antiviren-Produkten veröffentlicht. Zwischen 2005 und 2007 erhöhte sich diese Zahl um 340 Prozent auf 170 Advisories. Das SANS-Institut hat AV-Engines als Einfallstor in ihre Top-20 der Sicherheitsrisiken aufgenommen.
Kernproblem „Parsing“
Aber wie kann eine Sicherheitslösung, die eigentlich vor Gefahren schützen soll, der Wegbereiter für Schädlinge sein? Als eine der Hauptursachen wurde das so genannte Parsing ausgemacht – ein Vorgang, der unverzichtbarer Bestandteil einer jeden AV-Software ist.
Das Parsing-Prinzip funktioniert wie folgt: Virenscanner haben die Aufgabe, möglichst viele Schädlinge zu erkennen und somit eine hohe Anzahl an Dateiformaten zu verstehen und zu verarbeiten. Um binäre Formate interpretieren zu können, muss eine Applikation die entsprechende Datei in Blöcke und Strukturen aufteilen. Dieses Zerlegen von Daten in analysierbare Einzelteile wird als Parsing bezeichnet. Hierbei werden Speicherblöcke reserviert, um Daten aus der Datei in diese zu kopieren. Einer der besonders anfälligen Vorgänge besteht darin, dass Datenblöcke ohne Kontrolle des Inhaltes, häufig auch ohne Kontrolle der Länge, in den Speicher kopiert werden und so in vielen Fällen zu angreifbaren Schwachstellen führen. Außerdem entstehen durch Fehlannahmen beim Parsen Konstellationen, die es ermöglichen, Programmcode einzuschleusen und zur Ausführung zu bringen.
Da Antivirenlösungen bewegliche Ziele sind, ändern sich ständig ihre Funktionen und die Anzahl der zu erkennenden Formate. Je mehr Formate eine solche Software verstehen muss, desto mehr und häufiger muss diese "parsen", um die Erkennungs¬rate zu erhöhen. Damit vergrößert sich jedoch gleichzeitig die Fehlerwahrscheinlichkeit und somit die Angriffsfläche. Hinzu kommt erschwerend die Tatsache, dass die von den Herstellern erwartete schnelle Reaktionszeit hinsichtlich Bedrohungen zum Qualitätsverlust der Codes beiträgt.
Die Gefahrenzone potenziert sich zusätzlich, wenn Unternehmen mehrere AV-Engines einsetzen, damit alle geschäftskritischen Server und Clients durch Software, die mit den höchsten Rechten ausgestattet ist, umfassend geschützt sind. Dadurch steigt die Anfälligkeit jedoch noch einmal dramatisch. Ergo: Die Methoden, die den Schutz erhöhen sollen, haben genau das Gegenteil zur Folge – sie vergrößern die Gesamtangriffsfläche.
In der Praxis
Entdeckt der Angreifer nur einen einzigen Fehler in der Parsing-Engine eines eingesetzten Virenscanners, kann er hierdurch die Kontrolle über den Server erlangen, den die E-Mail gerade durchläuft. Steht der Server im Herzen des Unternehmens, kann er dem Angreifer Zugriff auf alle Daten des Mailservers geben. Hierauf befindet sich oft die gesamte elektronische Kommunikation. Außerdem wird es dem Angreifer somit möglich, sich Zugang zu anderen Segmenten des Netzes zu verschaffen und Trust Relationships auszunutzen. Da AV-Software mit hohen Zugriffsrechten laufen muss, ergeben sich höchst attraktive Angriffsziele.
So ist der Angreifer beispielsweise durch das Verschicken einer E-Mail mit präpariertem ZIP-Anhang in der Lage, diverse Manipulationen an internen Systemen vorzunehmen, auf denen sich Antivirensoftware im Einsatz befindet:
(Abb1.: Vereinfachtes Angriffsszenario – AV-Schwachstellen auf ein Firmennetz übertragen)
Die Auswirkungen
Die Schwachstellen ebnen den Weg für Denial of Service(DoS)-Attacken und ermöglichen es, Schädlinge an der Sicherheitslösung vorbei ins Netzwerk zu schleusen und sogar Exploitcode auszuführen. Somit lässt sich z.B. direkt durch das Ausnutzen der AV-Komponente der E-Mail-Verkehr einsehen oder die Antivirensoftware zum Absturz bringen und damit ggf. ein Ausfall der gesamten E-Mail-Infrastruktur auslösen. Der Schutz der AV-Lösung kann dabei auch komplett umgangen und Viren oder Malware können zum End-User ausgeliefert werden. Gezielte Angriffe zwecks Industrie- und Wirtschaftsspionage sowie Manipulation und Kompromittierung der E-Mail-Infrastruktur sind nur einige der möglichen Folgen.
Die Lösung
Über 800 Schwachstellen wurden von dem IT-Sicherheitsspezialisten n.runs aufgedeckt und gemeldet. Hiervon hat man einige entfernt, aber die meisten existieren nach wie vor. Dies liegt unter anderem daran, dass es bis zu 2 Jahre dauern kann, bis Produkt-Patches ausgeliefert werden, die die Sicherheitslücken beseitigen, da AV-Engines in vielen Produkten zum Einsatz kommen und der Entwicklungsaufwand sehr hoch ist.
Das Parsing als eine der Hauptursachen lässt sich nicht umgehen, da dieser Vorgang als Erkennungsmechanismus bei der Bekämpfung digitaler Schädlinge unverzichtbar ist. Daher ist die Lösung, die existierenden AV-Lösungen in eine hochsichere Architektur einzubetten, die erfolgreiche Angriffe auf die gesamte AV-Infrastruktur verhindert – bei gleichzeitiger Erhöhung der Virenerkennungsrate herkömmlicher Anitvirenprogramme sowie dem Schutz vor Malware.
Diese so genannte aps-AV-Lösung wurde einem aus der biologischen Forschung im Umgang mit gefährlichen Mikroorganismen stammenden BSL-Klasse-4-Virenlabor (Biosafety Level) nachempfunden, wobei Kontroll-, Abschottungs- und Vernichtungsmechanismen nachgebildet werden. Die Architektur unterteilt sich in die drei Schutzzonen Front-End, Distribution und Execution, die über Firewalls (Paketfilter) separiert werden. Die Kommunikation der verschiedenen Systeme über diese Sicherheitsschichten hinweg erfolgt über ein Protokoll, das speziell für die Sicherheitsbedürfnisse der Architektur entwickelt wurde.
(Abb2.: aps-AV 3-Tier-Architektur)
Das Systemdesign basiert nicht auf unmittelbaren Vertrauensbeziehungen. Alle Daten werden derartig kryptographisch gesichert transportiert, so dass nur die für den Betrieb der Lösung erforderlichen Informationen übertragen werden können. Die zu untersuchenden Daten werden zu keiner Zeit auf bekannte Viren-Signaturen hin inspiziert oder durch Parsing interpretiert, bevor sie in die abgesicherte Ausführungsumgebung gelangen.
Die verwundbaren AV-Engines kommen erst im Execution Environment – das zusätzlich zu dem gehärteten Hochsicherheitsbetriebssystem über keinerlei Netzwerkschnittstellen verfügt – zum Zug, und überprüfen den Mail-Anhang auf Schadcode. Stellt das System eine Anomalie fest, wird die abgeschottete Umgebung samt Betriebssystem komplett gelöscht und der Vorgang als Angriff auf das AV-Produkt markiert. Die Distribution Engine gibt dem Mail-Server dann entweder grünes Licht oder veranlasst das Blockieren der E-Mail. Außerdem wird der Vorfall zentral geloggt und gemeldet.
Mehrwert
In Kooperation mit Antivirensoftware-Anbietern als Technologiepartner und durch Aspekte wie Zentralisierung sind Funktionalität, Hochverfügbarkeit und Sicherheit der AV-Lösungen gewährleistet, und es wird so die Kontrollübernahme z. B. des Mailservers oder der dahinter liegenden AV-Clients verhindert. Gleichzeitig resultiert hieraus eine Leistungsoptimierung der Server sowie vereinfachte Verwaltung der AV-Engines und Ressourcen. Eine derartige Technologie eignet sich insbesondere für Großunternehmen, Konzerne und Provider mit hohem Sicherheitsbedarf.
08/2008, Ulrike Peter
| | Ulrike Peter arbeitet als freie Journalistin und befasst sich mit Sicherheitsthemen.
|
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | Nur 40 Prozent der Fortune 500 Unternehmen setzen Tools zur Email-Authentifizierung ein – das ergab eine Untersuchung von Secure Computing. Angesichts der Tatsache, dass Unternehmen damit Spam und Phishing wirksam abwehren könnten, ist dies ein ... | |  | | Spektakuläre Hacker-Aktionen mit ausgefeilten technischen Tricks machen immer wieder Schlagzeilen. Aber auch ohne raffiniert programmierte Viren oder tückische Java-Scripts kann man ahnungslose Internet-Nutzer abzocken. Nur wer auf Strong ... | |  | | Ethernet ist die dominierende Netzwerktechnologie im Bürobereich. Seit einiger Zeit dehnt sich der Standard nun auch in die Produktionsnetze aus. Durch das übergreifende Kommunikationsprotokoll entstehen zwar viele Vorteile, es öffnet aber auch Malware... | |  | | In den Medien wird seit Oktober des Jahres 2006 berichtet, dass der Security Dienstleister SecurStar aus München die wohl schlimmste Sicherheitslücke bei Handys überhaupt gefunden hat. Der Inhaber der Firma SecurStar, Herr Hafner, rühmt sich damit ... | |  | | Grundsätzlich ist es nie der Schadcode selbst, von dem die eigentliche Gefahr ausgeht, sondern immer der Mensch, der als Angreifer mit diesem Schadcode operiert. Die Frage nach den „größten“ Gefahren im Internet lässt sich dabei nicht eindeutig ... | |
Beiträge aus anderen Themenbereichen | | |
|  | | Um auf die Anforderungen des Marktes schneller und flexibler reagieren zu können, hat die Volkswagen Zubehör GmbH ihr Finanzreporting einer radikalen Frischzellenkur unterzogen... | |  | | Am 12. Oktober 2010 dreht sich auf dem Kongress der VOICE Days plus alles um aktuelle Strategien für die erfolgreiche Gestaltung der Kundeninteraktion. Interview mit Nils Müller, CEO & Founder TrendONE und Keynote-Speaker... | |  | | Gerade in kleineren und mittelständischen Unternehmen wird oft aus Zeit- und Budgetgründen die Optimierung der eigenen Website für Suchmaschinen vernachlässigt... | |
| | | |
