Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.556 Produkten

Olivia von Westernhagen 21

#AVGater: Systemübernahme via Quarantäne-Ordner Update

#AVGater-Angriff: Admin-Zugriff via Quarantäne-Ordner

Bild: bogner.sh

Eine neue Angriffstechnik nutzt die Wiederherstellungs-Funktion der Anti-Viren-Quarantäne, um Systeme via Malware zu kapern. Bislang reagierten sechs Software-Hersteller mit Updates.

Mehrere Anti-Viren-Anwendungen ermöglichen einem Angreifer als Windows-Standardbenutzer das Ausführen von Schadcode mit Systemrechten. Die zugrundeliegende, auf den Namen #AVGater getaufte Angriffstechnik hat der Sicherheitsforscher Florian Bogner in seinem Blog beschrieben. Das ist gefährlich, doch ein erfolgreicher Angriff setzt einen physischen oder Remote-Zugriff auf den betreffenden Rechner voraus.

Anzeige

Ausgangspunkt des Angriffs bildet der Quarantäne-Ordner des jeweiligen AV-Programms. Dort platziert ein lokaler Angreifer eine mit Schadcode versehene Programmbibliothek (DLL). Anschließend sorgt er mit Hilfe so genannter NTFS Junction Points dafür, dass die DLL beim Betätigen der Wiederherstellungsfunktion der AV-Software statt am ursprünglichen Speicherort im Ordner eines Windows-Dienstes mit Systemrechten landet. Zum Erstellen solcher Junction Points sind keine Adminrechte erforderlich. Auch das Kopieren der DLL in eigentlich schreibgeschützte (System-)Ordner gelingt laut Bogner dank der entsprechenden Zugriffsrechte des AV-Programms problemlos.

Nun muss der Angreifer noch dafür sorgen, dass der Windows-Dienst die schädliche DLL beim nächsten Reboot lädt. Zu diesem Zweck kann er sie mit dem Namen einer beliebigen, häufig genutzten Windows-Programmbibliothek versehen. Wenn der Dienst den exakten Pfad zu einer von ihm benötigten DLL nicht kennt, sucht er diese – und findet den Schadcode. Dieser läuft dann im Kontext des Dienstes mit Systemrechten und kann durch einen Angreifer "ferngesteuert" werden, um beliebige Aktionen auf dem System auszuführen.

AVGater nutzt die Reihenfolge aus, in der Windows-Anwendungen typischerweise nach DLLs suchen. (Bild: bogner.sh)

Wer sich ein detaillierteres Bild von #AVGater verschaffen möchte, findet in Bogners Blog zwei konkrete Beschreibungen für funktionierende Angriffe auf Emsisoft Anti-Malware und Malwarebytes 3.

Bislang haben Emsisoft, Ikarus, Kaspersky, Malwarebytes, Trend Micro und ZoneAlarm ihre AV-Produkte mit #AVGater-Fixes versehen, die sie über den normalen Update-Prozess verteilen. Laut Bogner arbeiten jedoch noch weitere, aus Sicherheitsgründen nicht namentlich genannte Hersteller an der Behebung der Schwachstelle. Da die Veröffentlichung der Patches noch einige Tage dauern könne, rät er herstellerübergreifend zu besonderer Aufmerksamkeit in punkto Software-Aktualität. Admins im Business-Umfeld empfiehlt er, den Quarantäne-Zugriff durch normale Nutzer zu blockieren.

[Update: 14:00 - 14.11.17]: Inhaltliche Fehlerkorrektur: "Symbolische Verknüpfungen" im Fließtext durch "NTFS Junction Points" ersetzt.

Anzeige
(ovw)

21 Kommentare

Themen:

Anzeige
  1. Versehentlich aktiviertes Debugging-Tool gefährdet Cisco Data Center Network Manager

    Facebook-Rechenzentrum

    Sicherheitsupdates schließen zum Teil als kritisch eingestufte Lücken in Cisco AnyConnect, DCNM und TelePresence.

  2. Microsoft findet Sicherheitspatch für Skype zu aufwendig

    Microsoft findet Sicherheitspatch für Skype zu aufwändig

    Angreifer könnten an einer Schwachstelle in Skype ansetzen, um sich Systemrechte unter Windows anzueignen. Ein Patch ist derzeit nicht in Sicht. Standard-Installationen sind aber nicht gefährdet.

  3. Locky ist wieder da: Erpressungstrojaner grassiert jetzt als Diablo6

    Locky ist wieder da: Erpressungstrojaner grassiert jetzt als Diablo6

    Die Ransomware Locky ist zurück und verschlüsselt wieder verstärkt die persönlichen Dateien von Opfern auf der ganzen Welt. Erhöhte Vorsicht im Umgang mit E-Mails scheint momentan angebracht.

  4. Kritische Sicherheitslücke: Angreifer könnten Router von Cisco kapern

    Server

    Cisco stellt Sicherheitsupdates für verschiedene Geräte und Software zum Download bereit.

  1. Ransomware: So entfernen Sie Verschlüsselungs-Trojaner

    Wenn Ihre Daten von einem Verschlüsselungs-Trojaner gekapert wurden, heißt es: Ruhe bewahren. Wir zeigen, was Sie gegen Ransomware tun können.

  2. Windows 10 mit Schutz vor Pass-the-Hash-Angriffen

    Windows 10 mit Schutz vor Pass-the-Hash-Angriffen

    Mit Hilfe moderner Virtualisierungstechnik soll der Credential Guard eine der gefährlichsten Angriffstechniken für Windows-Netze entschärfen.

  3. Virenschutz unter Linux

    Schutz gegen Malware, Trojaner und Erpresser ist auch unter Linux keine schlechte Idee und fix eingerichtet - auch kostenlos.

  1. Neuer europäischer Satellit Sentinel-3B beobachtet die Erde

    Neuer europäischer Satellit Sentinel-3B beobachtet die Erde

    Wie blau sind die Meere, wie grün ist das Land? Ein neuer Satellit schließt daraus auf den Zustand der Erde. Doch der Start ist auch das Ende eines ungewöhnlichen russisch-europäischen Friedensprojektes.

  2. Honda Monkey ist zurück

    Honda Monkey

    Die Honda Monkey ist der schlagende Beweis dafür, dass Größe bei der Legendenbildung keine Rolle spielt. Die Fan-Szene, die sich um das Bonsai-Bike entwickelt hat, nahm vor allem in Japan, aber auch in Amerika und Europa absurde Züge an. Retro ist in, Honda legt seine Monkey neu auf

  3. Datenschutzgrundverordnung in kleinen Firmen: DSGVO? – Nie gehört

    Datenschutzgrundverordnung in kleinen Firmen: DSGVO? – Nie gehört

    Die neuen Datenschutzbestimmungen nehmen auch kleinste Unternehmer in die Pflicht. Sind sie darauf vorbereitet? Die Uhr tickt. Bei Verstößen drohen empfindliche Bußgelder. Doch Grund zur Panik gibt es nicht, meinen Datenschützer.

  4. Licht für autonome Autos: LG übernimmt für 1,1 Milliarden Euro Beleuchtungsspezialist ZKW

    Licht für autonome Autos: LG übernimmt für 1,1 Milliarden Euro Beleuchtungsspezialist ZKW

    Mit Hilfe der Übernahme des österreichischen Unternehmens ZKW will LG eine weltweite Führungsrolle in der Beleuchtung für selbstfahrende Autos übernehmen.

Anzeige