Domainsicherheit: Bug in Kaspersky’s Virenschutz ?

5. Januar 2017 | Von | Kategorie: Domain News, Domain Sicherheit

Antivirensoftware Kaspersky mit Sicherheitslücke ?

Bei einer Überprüfung verschiedener Antiviren-Software hat Tavis Ormandy von Google Project Zero eine relevante Sicherheitslücke bei Kaspersky entdeckt. Die Software liest TLS Verbindungen aus und setzt damit die Zertifikatsprüfung außer Kraft. Ormandy konnte damit seine These untermauern, dass Sicherheitssoftware deutlich häufiger von Mängeln und mit Sicherheitslücken behaftet ist, als angenommen. Der Spezialist veröffentlicht regelmäßig seine Ergebnisse aus verschiedenen Tests, denen er die frei verkäuflichen Antivirenprogramme unterzieht.

fehlerhafte Zertifikatsprüfungen bei Kaspersky ?
Kaspersky steht also wieder einmal am (Sicherheits) Pranger. Die Antivirensoftware, die in Russland programmiert wird, installiert bei den Nutzern ein Zertifikat in dessen Webbrowser, um verschlüsselte Daten mitlesen zu können. Damit der Browser verschlüsselte Webseiten ( https) akzeptiert und für den Nutzer öffnet, wird jedes mal beim Aufruf ein einmaliges und temporäres Zertifikat erstellt und Kaspersky kann die Daten im Hintergrund einsehen. Für diese Aktionen nutzt die Software einen Cache, in dem bereits geprüfte Zertifikate abgespeichert sind und prüft diese mittels eines 32-Bit Hash.

Tavis Ormandy hat nun bewiesen , dass ein Brute-Force-Angriff in der Lage ist, ein Zertifikat einzuschleusen, das den gleichen Hash hat, wie bereits „eingelagerte“ Zertifikate. Dazu muss eine Fake-Domain lediglich denselben Hostnamen tragen, wie eine Domain, deren Zertifikate bekannt und im Cache hinterlegt ist. Die Hacker können also problemlos den Datenverkehr von Nutzern auslesen oder lassen die Hashes verschiedener Seiten miteinander kollidieren und legen so das Internet lahm. Man spricht in solchem Fall von Man-in the-middle- Angriffen, die schon seit einiger Zeit bekannt sind. Der letzte große Angriff der Hacker-Software namens Superfish griff  im Frühjahr 2015 die TLS Verbindungen von Notebooks der Marke Lenovo an.

Ormandy gibt Tipps für Nutzer
Tavis Ormandy hat einen guten Tipp für Nutzer von Kaspersky- Software. Alle Verbindungen mit dem QUIC-Protokoll, das Google entwickelt hat, werden ignoriert. Nutzer vom Chrome-Browser sehen daher nur korrekte Zertifikate, die überprüft wurden.

 

 

Schreibe einen Kommentar