Design-Fehler macht namhafte Antivirenlösungen angreifbar

Design-Fehler macht namhafte Antivirenlösungen angreifbar

Design-Fehler macht namhafte Antivirenlösungen angreifbar

Der Sicherheitsforscher Florian Bogner, der für einen österreichischen IT-Dienstleister arbeitet, hat einen Fehler in Antivirenlösungen verschiedener Hersteller gefunden, der diese Produkte unter Umständen unbrauchbar macht. Demnach ist es unmöglich, bereits erkannte Schadsoftware an den Sicherheitsanwendungen vorbei aus der Quarantäne zu holen und auszuführen. Der von ihm als AVGater bezeichnete Fehler betrifft demnach unter anderem Check Point, Emisoft, Ikarus, Kaspersky Lab, Malwarebytes, Trend Micro und Zone Alarm.

Hierfür muss ein Angreifer jedoch lokalen Zugriff auf das System haben, wie Bleeping Computer berichtet. Administratorrechte benötigt er jedoch nicht. Ein Konto mit eingeschränkten Nutzerrechten ist vollkommen ausreichend. Die für die Ausführung der Malware benötigten höheren Rechte erhält der Angreifer später automatisch von der Antivirensoftware.

Letztlich wird der Wiederherstellungsprozess für Dateien, die in die Quarantäne verschoben wurden, von einem Angreifer manipuliert. Zuvor führt er jedoch Schadcode aus, der mithilfe von NTFS-Verzeichnisverbindungen den ursprünglichen Speicherort der Schadsoftware verändert. Wenn die gefährliche Datei wiederhergestellt wird, landet sie nicht an ihrem Ursprungsort, sondern in einem Unterverzeichnis des Ordners “C:/Windows”.

Administratorrechte können umgangen werden

In der Regel würde ein Nutzer Administratorrechte benötigen, um eine Datei dort ablegen zu können. Antivirenprogramme verfügen jedoch stets über Systemrechte, weswegen die schädliche Datei in den Windows-Ordner verschoben wird, ohne dass eine Fehlermeldung oder eine Warnung aufgelöst wird. Macht sich der Angreifer zudem dem Umstand zunutze, dass bestimmte DLL-Dateien in einigen Windows-Verzeichnissen beim Start automatisch geladen beziehungsweise ausgeführt werden, wird auch die zuvor unter Quarantäne gestellte Datei beim nächsten Neustart als Teil eines Windows-Diensts oder einer privilegierten Anwendungen ausgeführt.

Einen Beispiel-Exploit stellte Bogner für Produkte von Emisoft und Malwarebytes zur Verfügung. Ihm zufolge werden die betroffenen Anbieter in den kommenden Tagen Updates zur Verfügung, die die Schwachstelle beseitigen. Er schließt zudem nicht aus, dass außer den genannten Unternehmen auch weitere Sicherheitslösungen anfällig sind. Nutzern rät er, ihre Antivirusprodukte stets auf dem neuesten Stand zu halten. In Unternehmensumgebungen sei es zudem meist möglich, die Wiederherstellung von Dateien aus der Quarantäne zu untersagen.

Die incoperating als Partner bezüglich IT-Sicherheit

Die incoperating unterstützt Sie bei der Umsetzung Ihrer IT-Sicherheit. Wir sorgen dafür, dass Ihre Antiviren-Software, Ihre Treiber sowie Ihre Firmware immer auf dem neuesten Stand sind. Unser Partner Bitdefender bietet außerdem hochqualitative Software im Antiviren-Bereich. Die incoperating ist zudem in den Bereichen Benutzerverwaltung, Server-Wartung und Client-Support mit ihrem Leistungsportfolio vertreten. Nehmen Sie jetzt unser kostenloses und unverbindliches IT-Audit in Anspruch, um unsere Services und unsere Arbeitsqualität näher kennenzulernen.

Originalartikel: http://www.zdnet.de/88317895/design-fehler-macht-namhafte-antivirenloesungen-angreifbar/?inf_by=59ef4a98671db82e1e8b4616