© rack911labs

Produkte
04/28/2020

Populäre Anti-Viren-Programme können leicht ausgehebelt werden

Sicherheitsforscher haben die Software populärer Anbieter getestet und dabei interessante Entdeckungen gemacht.

Sicherheitsforscher von Rack911 Labs haben die Anti-Viren-Software zahlreicher Hersteller unter die Lupe genommen. Dabei haben sie festgestellt, dass sich fast jede Software manipulieren und dadurch zu einem zerstörerischen Tool machen lässt. Zu den überprüften Programmen zählen unter anderem der Microsoft Defender, McAfee Endpoint Security oder Kaspersky. Alle Programme haben Bugs, die es erlauben, sie zu kompromittieren. 

Wie sie vorgingen

Um die Programme auszuhebeln, bedienten sich die Sicherheitsforscher Verknüpfungen, sogenannter Directory Junctions bzw. Symlinks. Dabei kam es hauptsächlich auf das Timing an.

Es galt den Zeitpunkt auszunutzen, zwischen dem ein Virenscanner eine bestimmte Datei als schadhaft erkennt und dem tatsächlichen Entfernen des Files. In diesem kurzen Moment wurde die Umleitung gesetzt und anstelle der tatsächlich schadhaften Datei wurde das solcherart verknüpfte File gelöscht.

Das Vorgehen wurde auch in mehreren Videos dokumentiert.

Um den Code auszuführen, müssen Angreifer aber zuvor in das jeweilige Computersystem eindringen. Aus diesem Grund, besteht die Gefahr an den Bugs mehr darin, dass bestehende Angriffe ausgeweitet, anstatt neue initiiert werden können.

Hersteller kontaktiert

Die Sicherheitsforscher haben die Hersteller der Anti-Viren-Software kontaktiert und auf die Problematik aufmerksam gemacht. Teilweise wurde die Lücke auch bereits geschlossen.

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.