Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.020 Produkten

Olivia von Westernhagen 21

#AVGater: Systemübernahme via Quarantäne-Ordner Update

#AVGater-Angriff: Admin-Zugriff via Quarantäne-Ordner

Bild: bogner.sh

Eine neue Angriffstechnik nutzt die Wiederherstellungs-Funktion der Anti-Viren-Quarantäne, um Systeme via Malware zu kapern. Bislang reagierten sechs Software-Hersteller mit Updates.

Mehrere Anti-Viren-Anwendungen ermöglichen einem Angreifer als Windows-Standardbenutzer das Ausführen von Schadcode mit Systemrechten. Die zugrundeliegende, auf den Namen #AVGater getaufte Angriffstechnik hat der Sicherheitsforscher Florian Bogner in seinem Blog beschrieben. Das ist gefährlich, doch ein erfolgreicher Angriff setzt einen physischen oder Remote-Zugriff auf den betreffenden Rechner voraus.

Anzeige

Ausgangspunkt des Angriffs bildet der Quarantäne-Ordner des jeweiligen AV-Programms. Dort platziert ein lokaler Angreifer eine mit Schadcode versehene Programmbibliothek (DLL). Anschließend sorgt er mit Hilfe so genannter NTFS Junction Points dafür, dass die DLL beim Betätigen der Wiederherstellungsfunktion der AV-Software statt am ursprünglichen Speicherort im Ordner eines Windows-Dienstes mit Systemrechten landet. Zum Erstellen solcher Junction Points sind keine Adminrechte erforderlich. Auch das Kopieren der DLL in eigentlich schreibgeschützte (System-)Ordner gelingt laut Bogner dank der entsprechenden Zugriffsrechte des AV-Programms problemlos.

Nun muss der Angreifer noch dafür sorgen, dass der Windows-Dienst die schädliche DLL beim nächsten Reboot lädt. Zu diesem Zweck kann er sie mit dem Namen einer beliebigen, häufig genutzten Windows-Programmbibliothek versehen. Wenn der Dienst den exakten Pfad zu einer von ihm benötigten DLL nicht kennt, sucht er diese – und findet den Schadcode. Dieser läuft dann im Kontext des Dienstes mit Systemrechten und kann durch einen Angreifer "ferngesteuert" werden, um beliebige Aktionen auf dem System auszuführen.

#AVGater: Systemübernahme via Quarantäne-Ordner
AVGater nutzt die Reihenfolge aus, in der Windows-Anwendungen typischerweise nach DLLs suchen. (Bild: bogner.sh)

Wer sich ein detaillierteres Bild von #AVGater verschaffen möchte, findet in Bogners Blog zwei konkrete Beschreibungen für funktionierende Angriffe auf Emsisoft Anti-Malware und Malwarebytes 3.

Bislang haben Emsisoft, Ikarus, Kaspersky, Malwarebytes, Trend Micro und ZoneAlarm ihre AV-Produkte mit #AVGater-Fixes versehen, die sie über den normalen Update-Prozess verteilen. Laut Bogner arbeiten jedoch noch weitere, aus Sicherheitsgründen nicht namentlich genannte Hersteller an der Behebung der Schwachstelle. Da die Veröffentlichung der Patches noch einige Tage dauern könne, rät er herstellerübergreifend zu besonderer Aufmerksamkeit in punkto Software-Aktualität. Admins im Business-Umfeld empfiehlt er, den Quarantäne-Zugriff durch normale Nutzer zu blockieren.

[Update: 14:00 - 14.11.17]: Inhaltliche Fehlerkorrektur: "Symbolische Verknüpfungen" im Fließtext durch "NTFS Junction Points" ersetzt.

Anzeige
(ovw)

21 Kommentare

Themen:

Anzeige
  1. Versehentlich aktiviertes Debugging-Tool gefährdet Cisco Data Center Network Manager

    Facebook-Rechenzentrum

    Sicherheitsupdates schließen zum Teil als kritisch eingestufte Lücken in Cisco AnyConnect, DCNM und TelePresence.

  2. Locky ist wieder da: Erpressungstrojaner grassiert jetzt als Diablo6

    Locky ist wieder da: Erpressungstrojaner grassiert jetzt als Diablo6

    Die Ransomware Locky ist zurück und verschlüsselt wieder verstärkt die persönlichen Dateien von Opfern auf der ganzen Welt. Erhöhte Vorsicht im Umgang mit E-Mails scheint momentan angebracht.

  3. Kritische Sicherheitslücke: Angreifer könnten Router von Cisco kapern

    Server

    Cisco stellt Sicherheitsupdates für verschiedene Geräte und Software zum Download bereit.

  4. DNS-Hijacker greift Macs an

    DNS-Hijacker greift Macs an

    Der Sicherheitsforscher Patrick Wardle hat eine neue Malware analysiert, die den Internet-Verkehr von macOS-Usern umleitet. Zudem wird ein neues Root-Zertifikat installiert.

  1. Ransomware: So entfernst du Verschlüsselungs-Trojaner

    Wenn deine Daten von einem Verschlüsselungs-Trojaner gekapert wurden, heißt es: Ruhe bewahren. Wir zeigen, was du gegen Ransomware tun kannst.

  2. Windows 10 mit Schutz vor Pass-the-Hash-Angriffen

    Windows 10 mit Schutz vor Pass-the-Hash-Angriffen

    Mit Hilfe moderner Virtualisierungstechnik soll der Credential Guard eine der gefährlichsten Angriffstechniken für Windows-Netze entschärfen.

  3. Brauche ich einen Virenscanner für mein Android-Smartphone?

    Immer wieder liest man von Android-Viren, die Smartphones und Tablets befallen. Wir verraten dir, ob du einen Virenscanner für Android brauchst.

  1. Kim Dotcom hat geheiratet - und will Neuseeland verklagen

    Kim Dotcom hat geheiratet - und will Neuseeland verklagen

    Auf Twitter hat der umstrittene Internetunternehmer Kim Schmitz (44) seine Hochzeit bekannt gegeben.

  2. Fahrbericht: Ford Expedition 2018

    Ford Expedition

    In den USA herrschen, was die richtige Fahrzeuggröße angeht, vielfach andere Vorstellungen als in Europa. Ein Ausflug mit dem für europäische Verhältnisse riesigen, auf dem US-Markt recht populären Ford Expedition 2018 zeigt dies eindrücklich

  3. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach

    Fataler Konstruktionsfehler im besonderen anwaltlichen Postfach?

    Markus Drenger und Felix Rohrbach vom Chaos Darmstadt haben ihre Erkenntnisse zum beA am Dienstagabend an der TU Darmstadt erneut präsentiert. Und es sieht ganz danach aus, dass die Client-Software einen irreparablen Konstruktionsfehler hat.

  4. Korg Prologue: Synthesizer-Flaggschiff verbindet analoge und digitale Klangerzeugung

    Korg Prologue: Synthesizer-Flaggschiff verbindet analoge und digitale Klangerzeugung

    Der 16-fach polyphone Prologue-16 verknüpft die analoge Tonerzeugung des Minilogue mit digitalen Oszillatoren und Effekten, die sich per Software am PC manipulieren lassen. Der Sound ist gewaltig.

Anzeige