Am Puls von Microsoft

Lief wie geschmiert: Antivirus von Webroot lässt Windows ausrutschen

Nachdem wir heute ja bereits über Kaspersky gesprochen haben, sorgt auch ein anderer AV-Hersteller an diesem Mittwoch für reichlich Aufregung. Webroot, ein Entwickler aus dem US-amerikanischen Broomfield im Bundestaat Colorado, hat gestern eine fehlerhafte Virensignatur an seine Nutzer verteilt, die für gut 13 Minuten auf den Servern des Entwicklers lag und etliche Systemdateien von Windows in die Quarantäne verschoben hat. In der Folge wurde Windows instabil und folglich nahezu unbrauchbar.

Für die Privatnutzer hat Webroot mittlerweile Anleitungen veröffentlicht, wie sie die Misere wieder in den Griff bekommen können. Unternehmen stehen dagegen immer noch vor einem Scherbenhaufen. Hier teilte Webroot mit, dass es hier keine einfache Lösung gibt und man seinen Business-Kunden derzeit nicht helfen könnte. Die wiederum spielen mit dem Gedanken, entsprechende Schadensersatzforderungen für die entstandenen Downtimes einzuklagen.

Auch Sophos mit neuer Panne
Neben Webroot haben auch die Kollegen von Sophos mit einer neuen Panne geglänzt. Hierbei war wieder einmal die sog. HTTPS-Interception, bei der ein Antivirus die verschlüsselte Datenübertragung im Browser aufbricht und mit einem eigenen Root-Zertifikat den entsprechenden Datenverkehr dann mitliest. Auf gut Deutsch ist das also nichts anderes als ein klassischer Man in the middle-Angriff, den jeder, der ein Antivirus eines Drittanbieters (beim Defender geht es nicht, weil er anders in Windows integriert ist) einsetzt, in der Regel in seiner Zertifikatsverwaltung nachprüfen kann.

Solch eine HTTPS-Interception ist dabei auch ein erhöhtes Sicherheitsrisiko, weil immer mehr AV-Unternehmen auch als Certification Authority (CA) agieren und eigene Zertifikate für den verschlüsselten Datenverkehr ausstellen. In den vergangenen zwei Jahren sind dabei unter anderem Symantec/Norton und Comodo negativ aufgefallen, den dicksten Reinfall erlebte aber Qihoo 360 im vergangenen Jahr, wie seine Töchter WoSign und Startcom mit gepanschten Zertifikaten erwischt und von Google, Microsoft und Mozilla in der Folge dafür abgestraft wurden.

Eigenes Sicherheitskonzept unerlässlich
Im konkreten Fall ging es bei Sophos um ein Problem mit Chrome 58, der eine bestimmte Variable für die Zertifikatsverwaltung, die seit vielen Jahren als unsicher gilt, nicht mehr unterstützt. Allerdings zeigen die beiden Fälle auch mal wieder, wie wichtig es ist, dass die Nutzer ein eigenes Sicherheitskonzept entwickeln und sich zumindest nicht blind auf die AV-Hersteller verlassen.

via Golem 1 und Golem 2

Über den Autor

Kevin Kozuszek

Kevin Kozuszek

Seit 1999 bin ich Microsoft eng verbunden und habe in diesem Ökosystem meine digitale Heimat gefunden. Bei Dr. Windows halte ich euch seit November 2016 über alle Neuigkeiten auf dem Laufenden, die Microsoft bei seinen Open Source-Projekten und der Entwicklerplattform zu berichten hat. Regelmäßige News zu Mozilla und meinem digitalen Alltag sind auch dabei.

Anzeige