Fehler in Antivirenlösungen entdeckt
Es war der Sicherheitsforscher Florian Bogner, der für den österreichischen IT-Dienstleister Kapsch arbeitet, der einen Fehler in den Antivirenlösungen verschiedener Hersteller fand, wie zdnet.de dazu berichtete. Die entdeckte Lücke kann die Produkte unter Umständen unbrauchbar machen.
Wie es weiter dazu heißt kann Schadsoftware an den Sicherheitsanwendungen vorbei aus der Quarantäne herausgelöst und erneut aktiviert werden. Der von ihm als AVGater bezeichnete Fehler betrifft demnach unter anderem:
- Check Point
- Emisoft
- Ikarus
- Kaspersky Lab
- Malwarebytes
- Trend Micro
- Zone Alarm
Voraussetzung lokaler Zugriff
Die Voraussetzung für einen Angriff ist der lokale Zugriff auf das System, wie Bleeping Computer berichtet. Administratorrechte benötigt er jedoch nicht – ein Konto mit eingeschränkten Nutzerrechten ist vollkommen ausreichend. Höhere Rechte zur Ausführung der Malware werden automatisch von der Antivirensoftware eingeräumt.
Letztlich manipuliert ein Angreifer den Wiederherstellungsprozess für Dateien, die in die Quarantäne verschoben wurden. Zuvor führt er jedoch Schadcode aus, der mithilfe von NTFS-Verzeichnisverbindungen den ursprünglichen Speicherort der Schadsoftware verändert. Wird die gefährliche Datei wiederhergestellt, landet sie nicht an ihrem Ursprungsort, sondern in einem Unterverzeichnis des Ordners „C:/Windows“.
Wie weiter dazu verlautet, sind es die Systemrechte der Antivirenprogramme, weswegen die schädliche Datei in den Windows-Ordner verschoben wird, ohne dass eine Fehlermeldung oder eine Warnung aufgelöst wird. Macht sich der Angreifer zudem den Umstand zunutze, dass bestimmte DLL-Dateien in einigen Windows-Verzeichnissen beim Start automatisch geladen beziehungsweise ausgeführt werden, wird auch die zuvor unter Quarantäne gestellte Datei beim nächsten Neustart als Teil eines Windows-Diensts oder einer privilegierten Anwendungen ausgeführt.
Nutzer sollen Antivirusprodukte aktuell halten!
Die Erkenntnisse des Sicherheitsforschers Bogner haben nun dazu geführt, dass die betroffenen Anbieter in den kommenden Tagen Updates zur Verfügung stellen, die die Schwachstelle beseitigen.
Er schließt zudem nicht aus, dass außer den genannten Unternehmen auch weitere Sicherheitslösungen anfällig sind. Nutzern rät er, ihre Antivirusprodukte stets auf dem neuesten Stand zu halten. In Unternehmensumgebungen sei es zudem meist möglich, die Wiederherstellung von Dateien aus der Quarantäne zu untersagen.
Weiterführende Links:
Florian Bogner: #AVGater: Getting Local Admin by Abusing the Anti-Virus Quarantine
bleepingcomputer.com : Antivirus Engine Design Flaw Helps Malware Sink Its Teeth Into Your System
zdnet.de: Design-Fehler macht namhafte Antivirenlösungen angreifbar
