Microsoft Application Verifier: Leck hebelt Antivirenlösungen aus

Schuld daran sei den Forschern von Cybellum zufolge ein undokumentiertes Feature im Microsoft Application Verifier. Die Schwachstelle macht es Angreifern möglich, Antivirenprogramme zu übernehmen und darüber Angriffe auf Systeme auszuführen.

Forscher haben in Microsoft Application Verifier eine Schwachstelle entdeckt, die es Angreifern möglich macht, Antivirenprogramme zu übernehmen und darüber Angriffe auf Systeme auszuführen. Die Sicherheitsforscher von Cybellum, die die Lücke entdeckt haben, tauften ihr Proof-of-Concept “DoubleAgent”. Es ist über Github verfügbar.

DoubleAgent, also Doppelagent nennt sich ein Proof-of-Concept von den Sicherheitsexperten von Cybellum, über das Antiviren-Lösungen gekapert werden können (Bild: Cybellum).DoubleAgent, also Doppelagent nennt sich ein Proof-of-Concept der Sicherheitsexperten von Cybellum, über das Antiviren-Lösungen gekapert werden können (Bild: Cybellum).

Die Forscher von Cybellum seien in der Lage gewesen, auf betroffenen Systemen dauerhaft Schadcode einzuschleusen. Statt schädliche Aktivitäten vom System fernzuhalten, agieren die Sicherheitssysteme dann als Einfallstor und erlauben es, Berechtigungen zu stehlen oder Prozesse abzuändern oder auch die Sitzungen anderer Nutzer anzugreifen. Die Malware könne auch dazu benutzt werden, um die Antivirenlösung als Ransomware zu verwenden, die die Festplatte des Anwenders verschlüsselt.

Der Fehler liegt in der Art und Weise, wie Microsoft Application Verifier mit .DLLs umgeht. Application Verifier ist eigentlich geschaffen, um Speicher-Korruptionen zu entdecken und zu beheben und auch, um kritische Sicherheitslecks aufzuspüren. Dabei werden in einem Prozess .DLLs in der Windows Registry festgelegt. Jedoch ließe sich, wie Cybellum in einem Blogeintrag mitteilt, diese .DLL gegen eine modifizierte Variante austauschen.

Schuld daran sei den Forschern zufolge ein undokumentiertes Feature im Application Verifier. “Sobald dieser angepasste Verifier eingefügt ist, bekomme der Anwender vollständige Kontrolle über die Applikation”, so Cybellum. Wenn das noch mit DoubleAgentDll.Dll zusammengeführt wird, dann kann diese DLL im Windows Loader bei jedem Neustart geladen werden, auch wenn das System aktualisiert oder gepatcht wurde. Ein einfacher Weg, dieses Leck zu patchen sei es, statt Application Verifier auf Protected Process zu setzen.

Von dem Problem sind laut Cybellum Avast (CVE-2017-5567), AVG (CVE-2017-5566), Avira (CVE-2017-6417), Bitdefender (CVE-2017-6186), Trend Micro (CVE-2017-5565), ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal und Norton betroffen.

Der Hersteller Malwarebytes hingegen bestreitet diese Darstellung und erklärt, dass die entsprechenden Lösungen des Herstellers zu keiner Zeit von dem Leck betroffen waren. Zudem ließe sich die Software über die Einstellungsoption “Selbstschutzmodul aktiviren” vor diesem Leck schützen.

Auch von Symantec gibt es inzwischen dazu eine Stellungnahme: “Nachdem wir diesen Fall untersucht haben, können wir beweisen, dass dieses Proof-of-Concept keine Produkt-Schwachstelle in Norton-Security ausnutzt. Es ist ein Versuch, ein installiertes Sicherheitsprodukt zu umgehen und setzt physischen Zugriff zum System und auch Admin-Rechter voraus, um erfolgreich ausgenutzt werden zu können. Wir wollen auch weiterhin unsere Kunden schützen und haben zusätzliche Detection und Block-Funktionen entwickelt und installiert, um Nutzer in dem unwahrscheinlichen Fall eines Angriffs zu schützen.”

[Mit Material von Martin Schindler, silicon.de]

Themenseiten: Microsoft, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Microsoft Application Verifier: Leck hebelt Antivirenlösungen aus

Kommentar hinzufügen
  • Am 22. März 2017 um 14:56 von Hardy

    Betrifft wohl nicht den WindowsDefender?
    oder gibt es hierzu keine weiteren Untersuchungen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *