zurück zum Artikel

Forscher entdeckten zerst?rerische Schwachstellen in 28 Antiviren-Programmen

Olivia von Westernhagen
Forscher entdecken zerst?rerische Schwachstellen in 28 Antiviren-Programmen

(Bild: Romolo Tavani/Shutterstock.com)

Ab 2018 entdeckte, gr??tenteils gefixte Symlink-Schwachstellen in AV-Software für Windows, Linux und macOS erlaubten das L?schen von (System-)Dateien.

Ein Forscher-Team des Unternehmens Rack911 Labs, das gezielt nach so genannten Symlink-(Race-) Schwachstellen in Antiviren-Software suchte, ist seit 2018 in 28 Produkten für Windows, Linux und macOS fündig geworden. über die lokal ausnutzbaren Schwachstellen konnten die Forscher die jeweilige AV-Software dazu bringen, statt vermeintlichem Schadcode etwa wichtige Systemdateien oder auch Komponenten der AV-Software selbst zu l?schen.

In einem Blogeintrag mit dem Titel "Exploiting (Almost) Every Antivirus Software" [1] hat das Team Proof-of-Concept-Code (und Videos) für Angriffe auf McAfee [2] Endpoint Security (Windows) und Norton Internet Security (macOS und Linux) ver?ffentlicht. Die übrigen 27 Produkte, die der Blogeintrag auflistet, sollen mit ganz ?hnlichem Code auf dieselbe Weise angreifbar gewesen sein. Darüber hinaus war wohl noch weitere Software derselben Hersteller betroffen – n?mlich solche, die unter anderem Namen dieselben Techniken verwendet.

Rack911 Labs hat die Hersteller nach eigenen Angaben ab Herbst 2018 mit individuellen Schwachstellen-Reports kontaktiert. Die meisten h?tten die Sicherheitsprobleme seither (teils auch sehr zeitnah) behoben – mit "einigen unglücklichen Ausnahmen", die im Blogeintrag allerdings nicht konkret benannt werden.

rack911labs.com

In der Liste befinden sich Produkte zahlreicher namhafter Hersteller wie Avast, Avira, BitDefender, ESET und Kaspersky.

(Bild:?rack911labs.com)

Die Schwachstellen auszunutzen sei recht trivial gewesen. Die Basis hierfür bildeten unter Linux und macOS symbolische Verknüpfungen, auch Symlinks genannt, und auf Windows-Systemen so genannte" Directory Junctions", wie sie mit dem Befehl mklink /H jeder Nutzer auch ohne Admin-Rechte anlegen kann. Die Forscher platzierten au?erdem "Schadcode" in Gestalt der bekannten EICAR-Testdatei auf dem jeweiligen System.

Unter vorheriger Ermittlung des richtigen Timings nutzten sie anschlie?end die Zeitspanne zwischen dem Erkennen der Bedrohung durch die AV-Software und deren L?schung/Verschiebung in Quarant?ne, um den Dateizugriff durch die AV-Software mittels Symlink/Junction zu einem anderen Dateipfad umzuleiten. In der Konsequenz l?schte beziehungsweise verschob die Software dann die dort hinterlegte statt der sch?dlichen Datei.

Im Video demonstrieren die Forscher ihren Angriff auf McAfee Endpoint Security auf einem Windows-System.

Mit ihrem Exploit-Code nutzten die Forscher die Root- beziehungsweise SYSTEM-Rechte aus, über die AV-Software typischerweise verfügt. Im Blogeintrag betont das Team von Rack911 Labs, dass über die blo?e "Zerst?rung" von Systemen und Software hinaus auch noch andere, auf Rechteausweitung basierende Angriffsstrategien denkbar gewesen w?ren.

Den PoC-Code sowie zwei Angriffs-Videos finden Interessierte im Blogeintrag von Rack911 Labs [3]. (ovw [4])


URL dieses Artikels:
http://www.hairyshit.com/-4710337

Links in diesem Artikel:
[1] https://www.rack911labs.com/research/exploiting-almost-every-antivirus-software/
[2] http://www.hairyshit.com/thema/McAfee
[3] https://www.rack911labs.com/research/exploiting-almost-every-antivirus-software/
[4] mailto:[email protected]

汤姆叔叔影院