DoubleAgent, also Doppelagent nennt sich ein Proof-of-Concept von den Sicherheitsexperten von Cybellum, über das Antiviren-Lösungen gekapert werden können (Bild: Cybellum).
Forscher haben in Microsoft Application Verifier eine Schwachstelle entdeckt, die es Angreifern möglich macht, Antivirenprogramme zu übernehmen und darüber Angriffe auf Systeme auszuführen. Die Sicherheitsforscher von Cybellum, die die Lücke entdeckt haben, tauften ihr Proof-of-Concept “DoubleAgent”. Es ist über Github verfügbar.
Die Forscher von Cybellum seien in der Lage gewesen, auf betroffenen Systemen dauerhaft Schadcode einzuschleusen. Statt schädliche Aktivitäten vom System fernzuhalten, agieren die Sicherheitssysteme dann als Einfallstor und erlauben es, Berechtigungen zu stehlen oder Prozesse abzuändern oder auch die Sitzungen anderer Nutzer anzugreifen. Die Malware könne auch dazu benutzt werden, um die Antivirenlösung als Ransomware zu verwenden, die die Festplatte des Anwenders verschlüsselt.
Der Fehler liegt in der Art und Weise, wie Microsoft Application Verifier mit .DLLs umgeht. Application Verifier ist eigentlich geschaffen, um Speicher-Korruptionen zu entdecken und zu beheben und auch, um kritische Sicherheitslecks aufzuspüren. Dabei werden in einem Prozess .DLLs in der Windows Registry festgelegt. Jedoch ließe sich, wie Cybellum in einem Blogeintrag mitteilt, diese .DLL gegen eine modifizierte Variante austauschen.
Schuld daran sei den Forschern zufolge ein undokumentiertes Feature im Application Verifier. “Sobald dieser angepasste Verifier eingefügt ist, bekomme der Anwender vollständige Kontrolle über die Applikation”, so Cybellum. Wenn das noch mit DoubleAgentDll.Dll zusammengeführt wird, dann kann diese DLL im Windows Loader bei jedem Neustart geladen werden, auch wenn das System aktualisiert oder gepatcht wurde. Ein einfacher Weg, dieses Leck zu patchen sei es, statt Application Verifier auf Protected Process zu setzen.
Von dem Problem sind laut Cybellum Avast (CVE-2017-5567), AVG (CVE-2017-5566), Avira (CVE-2017-6417), Bitdefender (CVE-2017-6186), Trend Micro (CVE-2017-5565), ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal und Norton betroffen.
Der Hersteller Malwarebytes hingegen bestreitet diese Darstellung und erklärt, dass die entsprechenden Lösungen des Herstellers zu keiner Zeit von dem Leck betroffen waren. Zudem ließe sich die Software über die Einstellungsoption “Selbstschutzmodul aktiviren” vor diesem Leck schützen.
Auch von Symantec gibt es inzwischen dazu eine Stellungnahme: “Nachdem wir diesen Fall untersucht haben, können wir beweisen, dass dieses Proof-of-Concept keine Produkt-Schwachstelle in Norton-Security ausnutzt. Es ist ein Versuch, ein installiertes Sicherheitsprodukt zu umgehen und setzt physischen Zugriff zum System und auch Admin-Rechter voraus, um erfolgreich ausgenutzt werden zu können. Wir wollen auch weiterhin unsere Kunden schützen und haben zusätzliche Detection und Block-Funktionen entwickelt und installiert, um Nutzer in dem unwahrscheinlichen Fall eines Angriffs zu schützen.”
[Mit Material von Martin Schindler, silicon.de]
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…
