Die Antivirus-Software des Herstellers Kaspersky enthält in Versionen, deren Antivirus-Datenbank vor dem 4. April 2919 erstellt wurde, eine gravierende Sicherheitslücke. Diese ist allerdings längt gefixt und sollte per Autoupdate behoben sein. Das BSI warnt trotzdem vor der Schwachstelle und empfiehlt ein sofortiges Update, da Angreifer sonst den Rechner unter ihre Kontrolle bringen können.
Virenschutzlösungen wie Kasperky Antivirus sollen Anwendersysteme zwar vor Bedrohungen schützen, erweisen sich durch Schwachstellen aber immer wieder als Sicherheitsrisiko. Jetzt hat es die Antivirus-Produkte von Kaspersky getroffen, in denen ältere Versionen eine als hoch eingestufte Schwachstelle aufweisen.
Warnung des BSI und Kaspersky Sicherheitshinweis
In der technischen Warnung TW-T19-0061 vom 9. Mai 2019 nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu der Sicherheitslücke Stellung. In Kaspersky Anti-Virus besteht eine Schwachstelle im Zusammenhang mit der Antivirus-Datenbank. Ein Angreifer kann diese Schwachstelle ausnutzen, um die Kontrolle über einen Rechner zu übernehmen. Er muss dazu eine bösartige Datei auf den Rechner des Opfers bringen, was z. B. durch das Zusenden einer E-Mail oder das Platzieren auf einer Webseite gelingt. Je nach Konfiguration muss die manipulierte E-Mail dazu nicht mal vom Benutzer geöffnet werden.
Bei der Schwachstelle CVE-2019-8285 handelt es sich um einen Heap-Buffer-Overflow-Fehler in allen Kaspersky Lab Antivirus Engines, die vor dem 4. April 2919 erstellt wurden. Konkret kann es beim Scannen von JS-Dateien zu einem Speicherfehler mit Heap-Buffer-Overflow auf den Systemen der Benutzer kommen. Dieser Heap-Buffer-Overflow ermöglicht es, Fremdcode unter den Privilegien des Antivirus-Programms auszuführen. Da dieses systemnah läuft, kann ein erfolgreicher Angreifer die Kontrolle über das System übernehmen.
Kaspersky hat diesen Bug in einem Sicherheitshinweis vom 8. Mai 2019 als schwerwiegend und mit der Gefährdungsstufe (CVSSv3 Score) von 8.08 auf einer bis 10 reichenden Skala eingestuft. Denn die Schwachstelle lässt sich remote angreifen. Betroffen sind alle Kaspersky Antivirus-Produkte, die die Antivirus-Datenbank verwenden.
Sicherheitsupdates seit dem 4. April 2019 verfügbar
Kaspersky hat den Bug behoben und für die betroffenen Produkte am 4. April 2019 Sicherheitsupdates bereitgestellt. Diese sollten automatisch per Produkt-Update auf den Systemen installiert worden sein.
Bleibt an dieser Stelle die Frage, ob Fremd-Antivirus-Produkte durch solche immer wieder auftretenden Schwachstellen sowie vorhandene Bugs den Anwendern nicht mehr schaden als nutzen. Erst im April 2019 kam es am Patchday zu gravierenden Problemen bei Windows Updates, wenn spezielle Antivirus-Programme installiert waren (siehe Windows Patchday Probleme, eine Woche später (17.4.2019)). Dort war Kaspersky zwar nicht dabei, aber das ist nicht der erste Vorfall, wo Schwachstellen in Kaspersky-Sicherheitsprodukten gefunden wurden. Für private System lassen sich der ab Windows 8 im Betriebssystem enthaltene Defender und in Windows 7 die Microsoft Security Essentials verwenden. (via)
Ähnliche Artikel:
Kaspersky Endpoint Security 10 Update auf V10.3.0.6294
Sicherheitslücke in Kaspersky Secure Mail Gateway 1.1
Kaspersky-Remover verursacht VSS-Fehler 0x81000203
Sicherheitslücken in Kaspersky Internet Security
Gotscha: Kaspersky Virusscanner ausgetrickst
Sicherheitsinfos: Lücken in FireEye-, Kaspersky- und Seagate-Produkten
Windows Patchday Probleme, eine Woche später (17.4.2019)
„Bleibt an dieser Stelle die Frage, ob Fremd-Antivirus-Produkte durch solche immer wieder auftretenden Schwachstellen sowie vorhandene Bugs den Anwendern nicht mehr schaden als nutzen.“
Dann fehlt dem Defender im Unternehmensumfeld „nur“ die zentrale Verwaltung. Warte, dass kann man ja kaufen/mieten, direkt vom Betriebssystemhersteller. Mit Cloud, also auch doof.
(Okay, die meisten AV-Hersteller schubsen die Kundendaten bzw. unbekannte Samples ausführbarer Dateien auch in ihre Cloud, selbst wenn die Richtlinienverwaltung noch lokal ist.)
Das ist ja schön, dass Sie einen Monat später eine Warnung raus geben.
Wenn meine Antivirus-Datenbank also älter ist als der 04. April, dann wäre man von dem Problem betroffen. Allerdings dürfte auch noch ein anderes Problem bestehen, denn entweder hatte ich seitdem kein Internet oder mit dem Update der Datenbank scheint was nicht zu stimmen.
Es sollte also kaum noch jemanden geben den es nun betrifft.
Nun ja, die Info von mir war ja der Wink mit dem Scheunentor, dass die KIS-Freunde wohl mal wieder mit der ersten allgemeinen Verunsicherung bedroht waren, ohne es zu merken.
Es heißt nicht umsonst, Schlangenöl untergräbt die Sicherheit des Systems.
Entscheidend ist zuallererst immer noch der Kopf vor dem Rechner. Wenn der hellwach und konzentriert agiert, ist das Risiko nur noch sehr gering.
Voraussetzung ist natürlich eine saubere Konfiguration im Hinblick auf das Betriebssystem und des Browsers.
Auf der BSI – Webseite gibt es laufend Warnmeldungen:
https://www.bsi.bund.de/DE/Service/Aktuell/Cert_Bund_Meldungen/cert_bund_meldungen_node.html
Nur ganz auf die Schnelle zu Defender z. B.:
2018:
https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/CB/2018/04/warnmeldung_cb-k18-0565.html
2017:
https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/CB/warnmeldung_cb-k17-0774.html
Und etwa zu Bugs und Sonstigem bis in jüngster Zeit wird man fündig auf MS – Seiten und im WWW.
Aus alledem nun zu suggerieren oder zu folgern, in Sachen Sicherheit und Datenschutz auf zur Monokultur, weiß ja nicht! Gute Nacht!
Das BSI warnt ja auch von Symantec AV am gleichen Tag.
Das BSI warnt ja fast tägllich. Ich traue mich gar nicht mehr aus dem Haus zu gehen.
Ich habe mich letzte Woche gewundert weshalb mein Kaspersky Internet Security nach einen Datenbankupdate unbedingt einen Neustart des PCs gefordert hat. Normalerweise starte ich den PC nur einmal im Monat neu. (nach dem zweiten Dienstag im Monat) Den Rest der Zeit verbringt er im Ruhezustand (S4). Jetzt weiß ich, dass eine fehlerhafte Datenbank die Ursache war.
Da ich sonst keine Probleme mit Kaspersky Internet Security habe werde ich weiter bei dem Anbieter bleiben.
Wenn ich mich an diesen Blogbeitrag erinnere ist der Windows Defender auch nicht besser.
https://www.borncity.com/blog/2019/03/20/scep-mse-defender-weltweiter-ausfall-von-microsofts-virenschutz-durch-signatur-1-289-1521-0-19-3-2019/
Eine Bekannte hat mir ihr Notebook gebracht, weil W10 V1709 Probleme macht. Jetzt habe ich gesehen, dass Kaspersky 18.0.0.405(K) drauf ist. Die Virendefinitionen sind aktuell und die GUI meldet:“Der Computer ist sicher.“Es fehlt aber ein Hinweis, dass der Support abgelaufen ist! Seit 15.Oktober 2018 werden für diese Engine keine Sicherheits-Patches mehr verteilt und ein Programm-Upgrade auf V 2019 erfolgte scheinbar nicht automatisch.
Leider lehnt die Laptop-Eignerin einen Wechsel zu Linux Mint ab, deshalb kann ich ihr nach einem Clean-Install von W10 V1809 nur zum Einsatz des Defenders raten. Leider wollen sich viele User nicht mit dem Betriebssystem und Programmen beschäftigen und lesen auch nicht Günters IT Blog. Es soll alles einfach funktionieren und wenn nicht, kennt man jemanden, der einem hilft.