DoubleAgent, also Doppelagent nennt sich ein Proof-of-Concept von den Sicherheitsexperten von Cybellum, über das Antiviren-Lösungen gekapert werden können (Bild: Cybellum).
Forscher haben in Microsoft Application Verifier eine Schwachstelle entdeckt, die es Angreifern möglich macht, Antivirenprogramme zu übernehmen und darüber Angriffe auf Systeme auszuführen. Die Sicherheitsforscher von Cybellum, die die Lücke entdeckt haben, tauften ihr Proof-of-Concept “DoubleAgent”. Es ist über Github verfügbar.
Die Forscher von Cybellum seien in der Lage gewesen, auf betroffenen Systemen dauerhaft Schadcode einzuschleusen. Statt schädliche Aktivitäten vom System fernzuhalten, agieren die Sicherheitssysteme dann als Einfallstor und erlauben es, Berechtigungen zu stehlen oder Prozesse abzuändern oder auch die Sitzungen anderer Nutzer anzugreifen. Die Malware könne auch dazu benutzt werden, um die Antivirenlösung als Ransomware zu verwenden, die die Festplatte des Anwenders verschlüsselt.
Der Fehler liegt in der Art und Weise, wie Microsoft Application Verifier mit .DLLs umgeht. Application Verifier ist eigentlich geschaffen, um Speicher-Korruptionen zu entdecken und zu beheben und auch, um kritische Sicherheitslecks aufzuspüren. Dabei werden in einem Prozess .DLLs in der Windows Registry festgelegt. Jedoch ließe sich, wie Cybellum in einem Blogeintrag mitteilt, diese .DLL gegen eine modifizierte Variante austauschen.
Schuld daran sei den Forschern zufolge ein undokumentiertes Feature im Application Verifier. “Sobald dieser angepasste Verifier eingefügt ist, bekomme der Anwender vollständige Kontrolle über die Applikation”, so Cybellum. Wenn das noch mit DoubleAgentDll.Dll zusammengeführt wird, dann kann diese DLL im Windows Loader bei jedem Neustart geladen werden, auch wenn das System aktualisiert oder gepatcht wurde. Ein einfacher Weg, dieses Leck zu patchen sei es, statt Application Verifier auf Protected Process zu setzen.
Von dem Problem sind laut Cybellum Avast (CVE-2017-5567), AVG (CVE-2017-5566), Avira (CVE-2017-6417), Bitdefender (CVE-2017-6186), Trend Micro (CVE-2017-5565), ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal und Norton betroffen.
Der Hersteller Malwarebytes hingegen bestreitet diese Darstellung und erklärt, dass die entsprechenden Lösungen des Herstellers zu keiner Zeit von dem Leck betroffen waren. Zudem ließe sich die Software über die Einstellungsoption “Selbstschutzmodul aktiviren” vor diesem Leck schützen.
Auch von Symantec gibt es inzwischen dazu eine Stellungnahme: “Nachdem wir diesen Fall untersucht haben, können wir beweisen, dass dieses Proof-of-Concept keine Produkt-Schwachstelle in Norton-Security ausnutzt. Es ist ein Versuch, ein installiertes Sicherheitsprodukt zu umgehen und setzt physischen Zugriff zum System und auch Admin-Rechter voraus, um erfolgreich ausgenutzt werden zu können. Wir wollen auch weiterhin unsere Kunden schützen und haben zusätzliche Detection und Block-Funktionen entwickelt und installiert, um Nutzer in dem unwahrscheinlichen Fall eines Angriffs zu schützen.”
[Mit Material von Martin Schindler, silicon.de]
Von ihr geht ein hohes Risiko aus. Angreifbar sind Chrome für Windows, macOS und Linux.
Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…
