Die Parsingfalle: Wenn die Antivirensoftware zum Spion wird …

07.08.2008

Die Platzierung von Virenscannern an zentralen Stellen in der IT-Infrastruktur stellt ein potenzielles Sicherheitsrisiko dar. Eine Aussage, die auf den ersten Blick paradox erscheint, jedoch den Tatsachen entspricht. Sicherheitsexperten haben in den vergangenen Monaten mehrere hundert Schwachstellen in allen gängigen Antivirenlösungen aufgespürt. Das Ergebnis der Tests ist alarmierend: Anstatt ausreichenden Schutz zu bieten, öffnen sie Angreifern die Tür und ermöglichen es ihnen, in Firmennetzwerke einzudringen und diese mit Schadcode zu infiltrieren.

Auf der diesjährigen Blackhat Europe wurden Untersuchungen präsentiert, die besagen, dass in den vergangenen vier Jahren 164 Sicherheitslücken in AV-Lösungen aufgetaucht sind. Monatelange Testreihen von IT-Sicherheitsspezialisten der Firma n.runs haben dies bestätigt und gezeigt, dass jeder der am Markt befindlichen Virenscanner gleich mehrere hochkritische Schwachstellen aufweist. Und die Tendenz ist steigend: Laut der Statistik der Universität Michigan wurden zwischen 2002 und 2005 insgesamt 50 Advisories zu Sicherheitslücken in Antiviren-Produkten veröffentlicht. Zwischen 2005 und 2007 erhöhte sich diese Zahl um 340 Prozent auf 170 Advisories. Das SANS-Institut hat AV-Engines als Einfallstor in ihre Top-20 der Sicherheitsrisiken aufgenommen.

Kernproblem „Parsing“

Aber wie kann eine Sicherheitslösung, die eigentlich vor Gefahren schützen soll, der Wegbereiter für Schädlinge sein? Als eine der Hauptursachen wurde das so genannte Parsing ausgemacht – ein Vorgang, der unverzichtbarer Bestandteil einer jeden AV-Software ist.

Das Parsing-Prinzip funktioniert wie folgt: Virenscanner haben die Aufgabe, möglichst viele Schädlinge zu erkennen und somit eine hohe Anzahl an Dateiformaten zu verstehen und zu verarbeiten. Um binäre Formate interpretieren zu können, muss eine Applikation die entsprechende Datei in Blöcke und Strukturen aufteilen. Dieses Zerlegen von Daten in analysierbare Einzelteile wird als Parsing bezeichnet. Hierbei werden Speicherblöcke reserviert, um Daten aus der Datei in diese zu kopieren. Einer der besonders anfälligen Vorgänge besteht darin, dass Datenblöcke ohne Kontrolle des Inhaltes, häufig auch ohne Kontrolle der Länge, in den Speicher kopiert werden und so in vielen Fällen zu angreifbaren Schwachstellen führen. Außerdem entstehen durch Fehlannahmen beim Parsen Konstellationen, die es ermöglichen, Programmcode einzuschleusen und zur Ausführung zu bringen.

Da Antivirenlösungen bewegliche Ziele sind, ändern sich ständig ihre Funktionen und die Anzahl der zu erkennenden Formate. Je mehr Formate eine solche Software verstehen muss, desto mehr und häufiger muss diese "parsen", um die Erkennungs¬rate zu erhöhen. Damit vergrößert sich jedoch gleichzeitig die Fehlerwahrscheinlichkeit und somit die Angriffsfläche. Hinzu kommt erschwerend die Tatsache, dass die von den Herstellern erwartete schnelle Reaktionszeit hinsichtlich Bedrohungen zum Qualitätsverlust der Codes beiträgt.

Die Gefahrenzone potenziert sich zusätzlich, wenn Unternehmen mehrere AV-Engines einsetzen, damit alle geschäftskritischen Server und Clients durch Software, die mit den höchsten Rechten ausgestattet ist, umfassend geschützt sind. Dadurch steigt die Anfälligkeit jedoch noch einmal dramatisch. Ergo: Die Methoden, die den Schutz erhöhen sollen, haben genau das Gegenteil zur Folge – sie vergrößern die Gesamtangriffsfläche.

In der Praxis

Entdeckt der Angreifer nur einen einzigen Fehler in der Parsing-Engine eines eingesetzten Virenscanners, kann er hierdurch die Kontrolle über den Server erlangen, den die E-Mail gerade durchläuft. Steht der Server im Herzen des Unternehmens, kann er dem Angreifer Zugriff auf alle Daten des Mailservers geben. Hierauf befindet sich oft die gesamte elektronische Kommunikation. Außerdem wird es dem Angreifer somit möglich, sich Zugang zu anderen Segmenten des Netzes zu verschaffen und Trust Relationships auszunutzen. Da AV-Software mit hohen Zugriffsrechten laufen muss, ergeben sich höchst attraktive Angriffsziele.

So ist der Angreifer beispielsweise durch das Verschicken einer E-Mail mit präpariertem ZIP-Anhang in der Lage, diverse Manipulationen an internen Systemen vorzunehmen, auf denen sich Antivirensoftware im Einsatz befindet:

(Abb1.: Vereinfachtes Angriffsszenario – AV-Schwachstellen auf ein Firmennetz übertragen)

Die Auswirkungen

Die Schwachstellen ebnen den Weg für Denial of Service(DoS)-Attacken und ermöglichen es, Schädlinge an der Sicherheitslösung vorbei ins Netzwerk zu schleusen und sogar Exploitcode auszuführen. Somit lässt sich z.B. direkt durch das Ausnutzen der AV-Komponente der E-Mail-Verkehr einsehen oder die Antivirensoftware zum Absturz bringen und damit ggf. ein Ausfall der gesamten E-Mail-Infrastruktur auslösen. Der Schutz der AV-Lösung kann dabei auch komplett umgangen und Viren oder Malware können zum End-User ausgeliefert werden. Gezielte Angriffe zwecks Industrie- und Wirtschaftsspionage sowie Manipulation und Kompromittierung der E-Mail-Infrastruktur sind nur einige der möglichen Folgen.

Die Lösung

Über 800 Schwachstellen wurden von dem IT-Sicherheitsspezialisten n.runs aufgedeckt und gemeldet. Hiervon hat man einige entfernt, aber die meisten existieren nach wie vor. Dies liegt unter anderem daran, dass es bis zu 2 Jahre dauern kann, bis Produkt-Patches ausgeliefert werden, die die Sicherheitslücken beseitigen, da AV-Engines in vielen Produkten zum Einsatz kommen und der Entwicklungsaufwand sehr hoch ist.

Das Parsing als eine der Hauptursachen lässt sich nicht umgehen, da dieser Vorgang als Erkennungsmechanismus bei der Bekämpfung digitaler Schädlinge unverzichtbar ist. Daher ist die Lösung, die existierenden AV-Lösungen in eine hochsichere Architektur einzubetten, die erfolgreiche Angriffe auf die gesamte AV-Infrastruktur verhindert – bei gleichzeitiger Erhöhung der Virenerkennungsrate herkömmlicher Anitvirenprogramme sowie dem Schutz vor Malware.

Diese so genannte aps-AV-Lösung wurde einem aus der biologischen Forschung im Umgang mit gefährlichen Mikroorganismen stammenden BSL-Klasse-4-Virenlabor (Biosafety Level) nachempfunden, wobei Kontroll-, Abschottungs- und Vernichtungsmechanismen nachgebildet werden. Die Architektur unterteilt sich in die drei Schutzzonen Front-End, Distribution und Execution, die über Firewalls (Paketfilter) separiert werden. Die Kommunikation der verschiedenen Systeme über diese Sicherheitsschichten hinweg erfolgt über ein Protokoll, das speziell für die Sicherheitsbedürfnisse der Architektur entwickelt wurde.

(Abb2.: aps-AV 3-Tier-Architektur)

Das Systemdesign basiert nicht auf unmittelbaren Vertrauensbeziehungen. Alle Daten werden derartig kryptographisch gesichert transportiert, so dass nur die für den Betrieb der Lösung erforderlichen Informationen übertragen werden können. Die zu untersuchenden Daten werden zu keiner Zeit auf bekannte Viren-Signaturen hin inspiziert oder durch Parsing interpretiert, bevor sie in die abgesicherte Ausführungsumgebung gelangen.

Die verwundbaren AV-Engines kommen erst im Execution Environment – das zusätzlich zu dem gehärteten Hochsicherheitsbetriebssystem über keinerlei Netzwerkschnittstellen verfügt – zum Zug, und überprüfen den Mail-Anhang auf Schadcode. Stellt das System eine Anomalie fest, wird die abgeschottete Umgebung samt Betriebssystem komplett gelöscht und der Vorgang als Angriff auf das AV-Produkt markiert. Die Distribution Engine gibt dem Mail-Server dann entweder grünes Licht oder veranlasst das Blockieren der E-Mail. Außerdem wird der Vorfall zentral geloggt und gemeldet.

Mehrwert

In Kooperation mit Antivirensoftware-Anbietern als Technologiepartner und durch Aspekte wie Zentralisierung sind Funktionalität, Hochverfügbarkeit und Sicherheit der AV-Lösungen gewährleistet, und es wird so die Kontrollübernahme z. B. des Mailservers oder der dahinter liegenden AV-Clients verhindert. Gleichzeitig resultiert hieraus eine Leistungsoptimierung der Server sowie vereinfachte Verwaltung der AV-Engines und Ressourcen. Eine derartige Technologie eignet sich insbesondere für Großunternehmen, Konzerne und Provider mit hohem Sicherheitsbedarf.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

blog comments powered by Disqus

Weitere Artikel zum Thema

  • Unternehmen sind zu fahrlässig im Web 2.0

    Unternehmen sind zu fahrlässig im Web 2.0

    In nahezu jedem Unternehmen können Mitarbeiter Blogs, Mashups, soziale Netzwerke, Foto- und Videoportale oder andere Elemente des Web 2.0 am Arbeitsplatz nutzen. Die wenigsten aber schützen sich ...

    weiterlesen
  • Die Geschichte der Computerviren

    Die Geschichte der Computerviren

    Malware und Viren sind kein Phänomen der heutigen Zeit. Panda Softare hat die Geschichte der Computerviren recherchiert. Von Neumanns "Theorie von sich selbst reproduzierenden Automaten auf Rechenmaschinen" bis zu Sasser ...

    weiterlesen
  • Wie sicher sind Unternehmensdaten wirklich?

    Wie sicher sind Unternehmensdaten wirklich?

    „Data at rest“ sind Daten, die auf unterschiedlichsten Speichersystemen abgelegt sind und bei Bedarf von Anwendungen aus dem Datenspeicher abgerufen werden. Die Daten sind klassischerweise auf Festplatten und Bandspeichern (Backup) in Klartext ...

    weiterlesen
  • Neuheiten im Malware-Schutz: Wächter zwischen den Netzen

    Neuheiten im Malware-Schutz: Wächter zwischen den Netzen

    Ethernet ist die dominierende Netzwerktechnologie im Bürobereich. Seit einiger Zeit dehnt sich der Standard nun auch in die Produktionsnetze aus. Durch das übergreifende Kommunikationsprotokoll entstehen zwar viele Vorteile, es öffnet aber auch Malware...

    weiterlesen
  • Web 2.0: Reputationsrisiko Mitarbeiter?

    Web 2.0: Reputationsrisiko Mitarbeiter?

    81,8 Prozent der Berufstätigen Menschen in Deutschland nutzen das Internet (Quelle: ARD/ZDF-Onlinestudie 1998 – 2008). Dabei sind die Zeiten, in denen nur passiv Informationen abgerufen wurden, lange vorbei.

    weiterlesen
alle Artikel zum Thema

Autor

  • Ulrike Peter

Ulrike Peter arbeitet als freie Journalistin und befasst sich mit Sicherheitsthemen.

Artikel einreichen

Top Artikel

  1. Zehn Gebote für optimale End-Point-Security
  2. Complete Security
  3. Das Geschäft der Anderen mit Ihren Kundendaten
  4. Security-Framework "made in Germany"
  5. Schleichende Datenkorruption

Unsere Experten

alle Experten

Premium Lösungen

Marktübersicht

Premium Services

Dienstleisterübersicht