Antiviren-Programme machen angreifbar

Wer Antiviren-Programme installiert, hat seine Angriffsfläche soeben vergrößert – so der Sicherheitsforscher Joxean Koret in seiner Präsentation mit dem Thema "Breaking Antivirus Software". 

In 14 von 17 Antiviren-Programmen fand er Remote- und lokale Sicherheitslücken. Betroffen sind unter anderem die Virenscanner von Avast, AVG, Avira, BitDefender, Eset, F-Secure und Panda.

Laut Koret sind Antivirus-Engines von Zero-Day-Attacken genauso angreifbar wie jede andere Software auch. Die Logik dahinter ist simpel: Ein Antivirus-Programm kann nur gegen bekannte Gefahren schützen. Wenn die Virensiganturen noch keine Informationen über einen neuen Virus enthalten (Zero-Day-Exploit), kann das Antivirus-Programm auch nicht davor schützen und ist genauso angreifbar von diesen sogenannten Zero-Day-Attacken.

Des weiteren laufen die meisten Antivirus-Engines mit den höchsten Systemrechten, so Koret. Ein Zero-Day-Exploit, der eine Sicherheitslücke des Antiviren-Programms ausnutzt, könnte mit diesen Systemrechten dann großen Schaden anrichten.

Weitere Gründe für Gefahren, die von Antiviren-Programmen ausgehen können, liegen laut Koret an deren Aufbau und Funktionsweise:

Koret stellte fest, dass Virenscanner sich nicht immer vollständig von Konkurrenten unterscheiden. Zum Beispiel wird die Antivirus-Engine von BitDefender auch in G-Data AntiVirus oder F-Secure verwendet. Das bedeutet, dass Angreifer nicht zwangsläufig für jedes Antiviren-Programm separate Schadsoftware programmieren müssen, wenn sie eine Schwachstelle der BitDefender-Engine ausnutzen wollen. Alle VIrenscanner, welche die BitDefender-Engine nutzen, sind dann betroffen.

Hinzu kommt, dass Antivren-Programme oft über das ungesicherte HTTP-Protokoll updaten. Über einen Man-In-The-Middle-Angriff (MITM) könnten Angreifer dann etwa Dateien auf dem Computer mit eigenen korrumpieren. Gerade bei BitDefener fand der Sicherheitsforscher "eine faszinierende Anzahl an Bugs".

Das Fazit des Sicherheitsforschers: Gegenüber erfahrenen Angreifern schützen Antiviren-Programme genauso wenig wie der installierte Text-Editor des Betriebssystems. Einige AV-Suiten verringern durch ihre erhöhten Systemrechte die Schutzmaßnahmen des Betriebssystems sogar.

Nichtsdestotrotz bleibt zu betonen, dass sich Korets Aussagen auf versierte und erfahrene Angreifer beziehen. Heutige Antiviren-Programme schützen dennoch vor den gängigen Gefahren von Schadsoftware wie Viren, Würmern und Trojanern. Außerdem werden Virensignaturen meistens sofort aktualisiert, wenn ein neuer Virusfund vorliegt. Die Wahrscheinlichkeit, dass dieser Virus den eigenen Computer infiziert hat, bevor die Virensignaturen des Virenscanners aktualisiert werden, ist zwar nicht ausgeschlossen, aber gering.

Mittlerweile hat der Antiviren-Hersteller Avira in einem Blogeintrag Stellung zu dem Thema genommen. Darin schildert Jason Radisson – Executive Vice President Online von Avira – dass ihr Virenscanner Schadsoftware nicht nur anhand von Virensignaturen erkennt. Das Programm suche zusätzlich nach verdächtigem Verhalten innerhalb des Betriebssystems, um auch unbekannte Viren unschädlich zu machen, die etwa einen Zero-Day-Exploit ausnutzen.

Des Weiteren sollte laut Radisson beachtet werden, dass viele Virusinfektionen heutzutage durch das eigene Nutzerverhalten im Internet entstehen. Eine Deinstallation von Antivirus-Software hätte eine erhöhte Infektionsgefahr zur Folge.