Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Olivia von Westernhagen 21

#AVGater: Systemübernahme via Quarantäne-Ordner Update

#AVGater-Angriff: Admin-Zugriff via Quarantäne-Ordner

Bild: bogner.sh

Eine neue Angriffstechnik nutzt die Wiederherstellungs-Funktion der Anti-Viren-Quarantäne, um Systeme via Malware zu kapern. Bislang reagierten sechs Software-Hersteller mit Updates.

Mehrere Anti-Viren-Anwendungen ermöglichen einem Angreifer als Windows-Standardbenutzer das Ausführen von Schadcode mit Systemrechten. Die zugrundeliegende, auf den Namen #AVGater getaufte Angriffstechnik hat der Sicherheitsforscher Florian Bogner in seinem Blog beschrieben. Das ist gefährlich, doch ein erfolgreicher Angriff setzt einen physischen oder Remote-Zugriff auf den betreffenden Rechner voraus.

Softe Links für massive Rechteerweiterung

Ausgangspunkt des Angriffs bildet der Quarantäne-Ordner des jeweiligen AV-Programms. Dort platziert ein lokaler Angreifer eine mit Schadcode versehene Programmbibliothek (DLL). Anschließend sorgt er mit Hilfe so genannter NTFS Junction Points dafür, dass die DLL beim Betätigen der Wiederherstellungsfunktion der AV-Software statt am ursprünglichen Speicherort im Ordner eines Windows-Dienstes mit Systemrechten landet. Zum Erstellen solcher Junction Points sind keine Adminrechte erforderlich. Auch das Kopieren der DLL in eigentlich schreibgeschützte (System-)Ordner gelingt laut Bogner dank der entsprechenden Zugriffsrechte des AV-Programms problemlos.

Nun muss der Angreifer noch dafür sorgen, dass der Windows-Dienst die schädliche DLL beim nächsten Reboot lädt. Zu diesem Zweck kann er sie mit dem Namen einer beliebigen, häufig genutzten Windows-Programmbibliothek versehen. Wenn der Dienst den exakten Pfad zu einer von ihm benötigten DLL nicht kennt, sucht er diese – und findet den Schadcode. Dieser läuft dann im Kontext des Dienstes mit Systemrechten und kann durch einen Angreifer "ferngesteuert" werden, um beliebige Aktionen auf dem System auszuführen.

#AVGater: Systemübernahme via Quarantäne-Ordner
AVGater nutzt die Reihenfolge aus, in der Windows-Anwendungen typischerweise nach DLLs suchen. Vergrößern
Bild: bogner.sh

Wer sich ein detaillierteres Bild von #AVGater verschaffen möchte, findet in Bogners Blog zwei konkrete Beschreibungen für funktionierende Angriffe auf Emsisoft Anti-Malware und Malwarebytes 3.

Updates schaffen Abhilfe

Bislang haben Emsisoft, Ikarus, Kaspersky, Malwarebytes, Trend Micro und ZoneAlarm ihre AV-Produkte mit #AVGater-Fixes versehen, die sie über den normalen Update-Prozess verteilen. Laut Bogner arbeiten jedoch noch weitere, aus Sicherheitsgründen nicht namentlich genannte Hersteller an der Behebung der Schwachstelle. Da die Veröffentlichung der Patches noch einige Tage dauern könne, rät er herstellerübergreifend zu besonderer Aufmerksamkeit in punkto Software-Aktualität. Admins im Business-Umfeld empfiehlt er, den Quarantäne-Zugriff durch normale Nutzer zu blockieren.

[Update: 14:00 - 14.11.17]: Inhaltliche Fehlerkorrektur: "Symbolische Verknüpfungen" im Fließtext durch "NTFS Junction Points" ersetzt.

(ovw)

21 Kommentare

Themen:

Anzeige
  1. Versehentlich aktiviertes Debugging-Tool gefährdet Cisco Data Center Network Manager

    Facebook-Rechenzentrum

    Sicherheitsupdates schließen zum Teil als kritisch eingestufte Lücken in Cisco AnyConnect, DCNM und TelePresence.

  2. Backdoor in CCleaner ermöglichte Fernzugriff – Update dringend empfohlen

    Backdoor in CCleaner: Update dringend empfohlen

    Die Version 5.33.6162 von CCleaner enthält eine Backdoor, die bis vor kurzem den unbemerkten Remote-Zugriff ermöglichte. Mittlerweile soll die Gefahr gebannt sein; ein zügiges Update auf die aktuelle Version 5.34 ist dennoch mehr als ratsam.

  3. Locky ist wieder da: Erpressungstrojaner grassiert jetzt als Diablo6

    Locky ist wieder da: Erpressungstrojaner grassiert jetzt als Diablo6

    Die Ransomware Locky ist zurück und verschlüsselt wieder verstärkt die persönlichen Dateien von Opfern auf der ganzen Welt. Erhöhte Vorsicht im Umgang mit E-Mails scheint momentan angebracht.

  4. Symantecs AV-Software verwundbar durch löchrigen Norton Download Manager

    Symantecs AV-Software verwundbar durch löchrigen Download Manager

    Der Download Manager, den viele Symantec-Produkte verwenden, um Installationsdateien herunterzuladen, ist verwundbar. Angreifer können Anwendern bösartige DLLs unterschieben, die vom Download Manager ausgeführt werden.

  1. Brauche ich einen Virenscanner für mein Android-Smartphone?

    Immer wieder liest man von Android-Viren, die Smartphones und Tablets befallen. Wir verraten dir, ob du einen Virenscanner für Android brauchst.

  2. Windows 10 mit Schutz vor Pass-the-Hash-Angriffen

    Windows 10 mit Schutz vor Pass-the-Hash-Angriffen

    Mit Hilfe moderner Virtualisierungstechnik soll der Credential Guard eine der gefährlichsten Angriffstechniken für Windows-Netze entschärfen.

  3. Virenschutz unter Linux

    Schutz gegen Malware, Trojaner und Erpresser ist auch unter Linux keine schlechte Idee und fix eingerichtet - auch kostenlos.

  1. Hessen baut Videoüberwachung aus

    Ãœberwachung, Kamera

    Videoüberwachung gilt bei Politikern und Polizei als wirksames Mittel gegen Verbrechen. Daher wächst die Zahl der Kameras in Hessen. Für Datenschützer wird oft zu leichtfertig darüber entschieden.

  2. Zweibeiniger Roboter Atlas schafft Salto rückwärts

    Mann schmeißt Atlas um

    Eine neue Version des aufrecht gehenden Roboters Atlas zeigt akrobatische Talente: Kisten sind kein Hindernis mehr, und sogar ein Salto aus dem Stand gelingt – meistens jedenfalls.

  3. Verhandlungen über Killerroboter in Genf

    Verhandlungen über Killerroboter in Genf

    Am Sitz der Vereinten Nationen in Genf wurde diese Woche ein Thema diskutiert, das sich für große Teile der Öffentlichkeit nach wie vor wie Science-Fiction anhört: tödliche autonome Waffensysteme oder Killerroboter.

  4. "Blaue Briefe" von der Landesmedienanstalt NRW

    "Blaue Briefe" von der Landesmedienanstalt NRW

    Auch Letsplay-Kanäle mit wenigen hundert Zuschauern geraten inzwischen ins Visier der Landesmedienanstalten. Von Annäherung zwischen Anbietern und Behörden oder gar der Abschaffung überholter Regelungen kann offenbar keine Rede sein.

Anzeige