Wenn Du einen Antivirus-Software unter Windows einsetzt, fühlst Du dich gut geschützt – oder? Und wenn das Teil noch "Internet Security Suite" heißt und Geld kostet, schützt das Ding noch mehr – richtig? Vergiss das alles! Deine Antivirus-Lösung könnte das Einfallstor für Schädlinge sein! Im Beitrag geht es nicht um "schutzlos, trotz teurer Antivirus-Software", sondern um "ungeschützt, wegen Antiviren-Software" – aber lest selbst und zieht eure Schlüsse.
Anzeige
Ich gestehe, eine diebische Freude beschleicht mich schon – obwohl das Thema an sich recht traurig ist. Warum? Es gibt seit einiger Zeit die folgenden beiden Blog-Beiträge, die schon mal "böse Kommentare" hervorrufen.
Tuning-Tools, die Plage des 21. Jahrhunderts?
Windows 8, Anwenderwahn und die Virenscanner
Zugegeben, die Beiträge sind provokant, geschrieben mit der Wut im Bauch, wenn man wieder Scharen von Anwendern mit "unerklärlichen Problemen mit diesem dämlichen Windows" in Foren eingefallen waren. Und am Ende des Tages stellten sich TuneUp & Co. oder Fremd-Internet Security Suites als Ursache oder Systembremse erster Güte heraus.
Ich stelle fest, ich bin einzig – sagte Adenauer
Ich vertrete ja den Ansatz, dass der Windows Defender in Windows 8/8.1 oder Microsoft Security Essentials in Windows 7 als Basisschutz gegen Schadsoftware reicht. Smartfilter und weitere Mechanismen verhindern meist den Befall durch Schadsoftware – und der Rest kommt meist durch den Anwender auf's System, wenn alles, was bunt ausschaut, angeklickt und installiert werden muss. Zudem bleibt das System "schlank" und wird nicht durch Fremdsoftware aufgebläht und ausgebremst.
Anzeige
Die Überlegung, auf Kostenloses bei Virenscanner und Internet Security Suites zu setzen, "um besser geschützt zu sein" sollte man m.M. nach schnellstens verwerfen. Und auch zu den allgegenwärtigen Reviews von Antivirus-Software mit der schlechten Bewertung des Microsoft Defenders bzw. der Microsoft Security Essentials hatte ich z.B. im Beitrag Microsoft, der Virenscanner und AV-Testergebnis was geschrieben.
Kann man nun glauben oder sein lassen – bei vielen Anwendern bleiben Zweifel – zu verlockend sind doch die Werbeversprechen der AV-Hersteller. "Wir schützen dich gegen unbekannte Zero-Day-Exploit-Angriffe" oder "Wir machen die Systeme sicherer, ohne die Performance zu verschlechtern" sind oft gehörte Aussagen. Zeit für einen Realitäts-Check.
So sieht es unter der Haube von Sicherheitslösungen aus
Mich überkam eine diebische Freude, als ich über heise.de auf dieses PDF-Dokument aufmerksam wurde. Das Dokument enthält Folien des Vortrags von Joxean Koret vom Sicherheitsspezialisten COSEINC auf der Syscan 360-Konferenz. Dort berichtet Koret, dass er – in seiner Freizeit – (geschätzt) 17 Virenscanner untersucht habe, von denen 14 teilweise kritische Sicherheitslücken aufweisen. Weil die Scan-Engines aber meist im Core mit den höchsten Privilegien ausgeführt werden, ist das ein prima Einfallstor für Schadsoftware, um ein System zu infiltrieren. Hier ein paar Kernaussagen aus den Folien, die die Realität (im Vergleich mit den obigen Werbeaussagen) widerspiegeln:
- Viele Anbieter (G-Data, F-Secure etc.) setzen auf die gleichen Scan-Engines von Drittanbietern.
- Die Installation einer Anwendung (gemeint ist ein Virenscanner), vergrößert die Angriffsfläche.
- Falls die Anwendung mit den höchsten Rechten läuft (um Kernen-Treiber und Paketfilter zu installieren), wird das potentielle Risiko extrem erhöht.
- AV-Scan Engines bewirken, dass das System besser angreifbar wird. Gelingt es, ein Zero-Day-Exploit in der Scan Engine zu nutzen, stehen der Schadsoftware alle Türen offen.
Problem ist, dass die meisten Scan Engines aus Performance-Gründen in C oder C++ geschrieben sind, also mit "unmanaged Code" daherkommen. Eine alte MalwareBytes-Version war angeblich sogar in Visual Basic 6 geschnitzt. Daher wirkt sich jeder Pufferüberlauf fatal aus und kann für Angriffe genutzt werden. Dummerweise stehen sich die Virenscanner selbst im Weg, müssen die doch eine riesige Liste an Dateiformaten unterstützen (erhöht den Code-Umfang samt Fehlerwahrscheinlichkeit und vergrößert dadurch die möglichen Angriffsvektoren). Ergibt ein beunruhigendes Szenario für uns Anwender:
- Gelingt es, einem Malware-Entwickler, einen Bug im AV-Produkt zu finden und auszunutzen, erhält er meist Root-Rechte auf dem System.
- Die Updates der AV-Produkte erfolgen über HTTP, so dass ein Man in the middle (MITM) Angriff zur Installation von Schadcode dienen kann. Da die AV-Updates nicht mal signiert sind, sind das paradiesische Zustände für Malware-Entwickler.
Von Juli bis August (2013) hat Koret in seiner Freizeit populäre Antivirus-Produkte untersucht. Verwendet wurde ein Linux-System, auf dem er mit Tricks die Antivirus-Produkte ausführen und dann Angriffsszenarien testen konnten. Von mindestens 17 untersuchten Antivirus-Produkten erwiesen sich 14 als angreifbar (entweder das Produkt selbst oder der Virenscanner). Hier das How's who der Scanner und der Exploits.
- Avast: Heap overflow in RPM (reported, fixed and paid Bug Bounty)
- Avg: mehrere Angriffsmöglichkeiten über Packer-Formate, Heap overflow per Cpio (mittlerweile gefix)
- Avira: Mehrere Remote-Sicherheitslücken (remote vulnerabilities)
- BitDefender: Mehrere Remote-Sicherheitslücken (remote vulnerabilities)
- ClamAV: Endlosschleife durch fehlerhafte PE-Einträge erzwingbar (nach Meldung gefixt)
- Comodo: Heap overflow bei manipulierten chm-Dateien
- DrWeb: Mehrere Remote-Sicherheitslücken (Sicherheitslücke im Update-Prozess der Scan-Engine mittlerweile gefixt)
- ESET: Integer overflow bei PDF (gefixt)/Mehrere Sicherheitslücken in bei diversen Archiv-Formaten von Packern
- F-Prot: Heap overflows bei diversen Archiv-Formaten von Packern
- F-Secure: Mehrere Sicherheitslücken in der Aqua Engine (alle von F-Secure verursachten Bugs sollen gefixt sein)
- Panda: Verschiedene Lücken, die lokal die Erhöhung von Privilegien ermöglichen (nach der Meldung teilweise behoben)
- eScan: Mehrere Möglichkeiten für "remote command injection" (es wird behauptet, dass die alle gefixt seien …)
Nettes Horror-Szenario – oder? Die meisten Hersteller verwenden ASLR nur für den Core-Code, manche noch nicht einmal das. Dadurch sind Speicherüberläufe bei Angriffen wohl recht einfach ausnutzbar. Viele Produkte benutzen einen x86-Emulator beim Scannen und Entpacken von Archivdateien. Im Emulator wird dann beobachtet, ob es ein "böswilliges Verhalten" gibt. Die Emulatoren erzeugen aber RWX-Pages (RWX= read, write, execute) an festen Stellen im Speicher und schalten DEP ab, solange der Emulator läuft. x86-Emulator können aber für Heap Spraying oder ähnliche Angriffsszenarien überhaupt nicht abdecken. Die Emulatoren der AV-Produkte sind quasi ein "Schlaraffenland" für Exploit-Entwickler.
Koret kommt zu dem Schluss, dass Virenscanner genau so verwundbar wie normale Software seien – nur bei Virenscannern oder Security-Produkten ist das ungleich kritischer. Oder mit anderen Worten: Mit dem ganzen Sicherheitszeugs holt ihr euch die "perfekte" Angriffsbasis auf euer System.
Abschließende Anmerkung: Wer die Folien (oder den heise.de-Excerpt) durchgeht, findet ein richtig düsteres Bild. Virenscanner und Internet Security Suites schaden häufig mehr, also sie nutzen und reißen zusätzliche Sicherheitslücken auf. Dem einen oder anderen Leser wird vielleicht auffallen, dass der Windows Defender oder Microsoft Security Essentials nicht in den Folien auftauchen. Sind die nun besonders sicher? Kann ich nicht sagen – ich gehe mal davon aus, dass Microsoft bezüglich der oben erwählten Techniken seine Hausaufgaben gemacht hat. Zudem tippe ich darauf, dass Koret die Microsoft AV-Lösungen nicht testen konnte, weil diese entweder in Windows integriert sind (Defender) oder sehr nahe an das System angelehnt sind (Security Essentials) und nicht in der Linux-Testumgebung ausführbar waren. So, und jetzt kommt ihr, um Licht in dieses düstere Szenario zu bringen.
Ähnliche Artikel
Windows 8-Sicherheitslücke durch Virenscanner?
Ist ihr kostenloser Virenscanner ein Ressourcenfresser?
Live-Virenscanner: MS Standalone Sweeper
Kostenloser und portabler Microsoft Virenscanner
Microsoft Security Essentials: KB2855265-Update verfügbar
Virenschutz: Microsoft Security Essentials 4.3 freigegeben
Microsoft Security Essentials bei AV-Test durchgefallen
Troubleshooting Microsoft Security Essentials
Windows-Defender und Kontextmenü zur Dateiprüfung?
Antivirus Marktanalyse von Opswat
Anzeige
So, jetzt kommt ihr. Das nehme ich mir mal als Stichwort heraus: manche Dateien, die andere Scanprogramme als Viren erkennen (und auch eine sind), erkennt der Windows Defender eben nicht. Außerdem: gegen Remote-Angriffe sollte mich doch die Windows Firewall (zumindest so, wie ich sie eingestellt habe) schützen. Und für alles andere habe ich eben einen Virenscanner, der sich auch so nennen darf und mit normalen Rechten läuft. Rein theoretisch vergrößert jedes Programm die Angriffsfläche, aber die Programme benötigt man nun mal. Und bei so vielen Programmen macht ein einziges auch keinen Unterschied mehr.
Und noch etwas zu Windows Defender: Er kann mir zu wenig und ich kann nicht sofort eine Datei (oder einen Internet-Download) direkt zu überprüfen.
Passend zum Thema was zu Symantec – und solange so was wie unverschlüsselte Signalübertragung an Ampeln passiert, bin ich auch nicht so zuversichtlich, dass sich bald was ändert.
Nachträge: Zwischenzeitlich haben mich noch zwei Kommentare erreicht, die ich euch nicht vorenthalten möchte – es sollen ja alle Stimmen zu Wort kommen.
Der Text ist in englischer Sprache und enthält sicherlich eine lesenswerte Argumentation! In Bezug auf meinem obigen Artikel (und ich meine auch in Bezug auf den Vortrag von Joxean Koret) läuft die Stellungnahme aber ins Leere. Koret stellt lediglich fest, dass viele AV-Hersteller offenbar ihre Hausaufgaben nicht gemacht haben. Und ich rate nicht von der Benutzung von Antivirus-Software ab. Ich weise auf die Ergebnisse des oben verlinkten Vortrags hin – die Probleme könnten die AV-Hersteller ja durch entsprechend sichere Lösungen ad adcta legen.
Allerdings stellt sich indirekt die Frage, wie sinnvoll Free-AV- und kostenpflichtige AV und Security-Produkte sind, wenn ich von Microsoft einen Basisschutz im Betriebssystem habe. Und wie viel Sinn macht eine Fremdlösung, wenn ich damit in diverse Probleme laufe? Die Frage muss sich letztendlich jeder Anwender selbst beantworten – da kann ich keine Empfehlungen geben. Aber eines möchte ich auch festhalten: Ich habe im Grunde genommen nichts gegen die Produkte der AV-Hersteller und die sollen meinetwegen auch die Teile verkaufen. Was mich aber nervt: Dass freiwillige Helfer in Microsofts Answers-Support-Foren die seitens diverser AV-Produkte verursachte Kollateralschäden wegräumen sollen und dann ggf. noch schräg von den Anwendern angemacht werden. Von daher ist meine Position als freiwilliger Microsoft Answers Communitymoderator, dass ich Anwender mit Problemen, die auf AV-Lösungen als Ursache hindeuten, nicht mehr unterstütze und auffordere, dass System zur Diagnose von den AV-Installationen zu befreien oder sich an den Support der Hersteller zu wenden. Ist zwischenzeitlich reiner Selbstschutz. Und dass die von Joxean Koret festgestellten Böcke in den AV-Lösungen zu finden sind, ist auch nicht wirklich schön.
Kommentar von Blog-Leser Michael B. zu meinem Artikel bei Facebook.
Ich habe dann etwas recherchiert – es müsste dieser Google+-Beitrag sein, da dieser genau das Thema adressiert.
Da haben wir sie wieder, die immer wiederkehrende Frage nach dem Pro und Contra. Man sollte für sich selber abwägen, welche Lösung man benötigt, auch mir kann der Defender zu wenig, also setze ich seit langem auf Eset und habe damit gute Erfahrungen gemacht. Auch, wenn in dieser Software ein Fehler vorhanden ist, kombiniert man diese mit Brain 1.0 , setzt man sein Risiko herab, mein letzter Virus kam mit DOS 6.x, der Parity boot b.
Interessant aber, daß einjge Firmen auf Anfragen des Autors nicht reagiert haben und eher die Kleineren reagierten
Nachdem ich mich seit vielen Jahren durch fast sämtliche Anbieter von AV Software geärgert habe, habe ich ein wenig zum MS Angebot recherchiert.
Auf meinem Win7 habe ich jetzt auch noch Malwarebytes entfernt und jetzt ausschliesslich Microsoft Security Essentials installiert. Läuft bisher ohne Problem, ich teste regelmässig mit Stinger und ähnlichem.
Was mir auffällt ist, dass der Computer langsamer arbeitet (mit i5 und SSD), ist das eine normale Entwicklung?
Vor allem habe ich eine Frage. Sehe ich das richtig, dass MSE keine wirkliche Wahl lässt, was mit den Funden danach zu geschehen hat? Oder übersehe ich da was? Angeboten werden ausschliesslich Quarantäne und Remove….
Zum "langsamer" – ist mir hier nicht aufgefallen (ich habe keinen iCore). André Ziegler von WinVistaSide.de behauptet das auch.
Die Optionen sind bei den MSE begrenzt, das ist richtig. Ich habe da aber bisher nie was vermisst (es gab auch noch kaum Treffer).
ja, das ist normal. MSE ist halt eine lahme Krücke (Explorer ruckelt bei Auflistung der Dateien lokal und im Netzwerk). Ich deaktiviere den Defender immer sofort.
Danke, Günter…
Der Zeitunterschied beträgt zwar nur 5 Sekunden, aber mein Computer ist nach weniger 10 sek bereit und da merkt man das halt…
@Andre…
was hast du denn als AV installiert?
Hab ich doch die Frage vergessen… Einstellen was mit den Funden zu geschehen hat, kann man wohl tatsächlich nicht?
ich nutze NOD32 auf meinem Laptop und Avast Free! auf meinem Tablet.
Danke, aber die kenn ich beide…
Ich mag es nicht, wenn mich AV Software ständig mit Überflüssigen pop ups nervt. Und gerade Avast ist dabei das Übelste.
Ich will auch nicht standig daran erinnert werden, dass ich "free" software verwende und ich will mich auch nicht mit false postives rumärgern.
MS Essentials verlangsamt meinen Computer beim Start up um 4 sek, hat mich aber dafür noch nicht ein einziges Mal mit pop up belästig