© rack911labs

Produkte

Populäre Anti-Viren-Programme können leicht ausgehebelt werden

Sicherheitsforscher von Rack911 Labs haben die Anti-Viren-Software zahlreicher Hersteller unter die Lupe genommen. Dabei haben sie festgestellt, dass sich fast jede Software manipulieren und dadurch zu einem zerstörerischen Tool machen lässt. Zu den überprüften Programmen zählen unter anderem der Microsoft Defender, McAfee Endpoint Security oder Kaspersky. Alle Programme haben Bugs, die es erlauben, sie zu kompromittieren. 

Wie sie vorgingen

Um die Programme auszuhebeln, bedienten sich die Sicherheitsforscher Verknüpfungen, sogenannter Directory Junctions bzw. Symlinks. Dabei kam es hauptsächlich auf das Timing an.

Es galt den Zeitpunkt auszunutzen, zwischen dem ein Virenscanner eine bestimmte Datei als schadhaft erkennt und dem tatsächlichen Entfernen des Files. In diesem kurzen Moment wurde die Umleitung gesetzt und anstelle der tatsächlich schadhaften Datei wurde das solcherart verknüpfte File gelöscht.

Das Vorgehen wurde auch in mehreren Videos dokumentiert.

Um den Code auszuführen, müssen Angreifer aber zuvor in das jeweilige Computersystem eindringen. Aus diesem Grund, besteht die Gefahr an den Bugs mehr darin, dass bestehende Angriffe ausgeweitet, anstatt neue initiiert werden können.

Hersteller kontaktiert

Die Sicherheitsforscher haben die Hersteller der Anti-Viren-Software kontaktiert und auf die Problematik aufmerksam gemacht. Teilweise wurde die Lücke auch bereits geschlossen.

Hat dir der Artikel gefallen? Jetzt teilen!

Kommentare

Liebe Community! Unsere Developer arbeiten derzeit fleißig daran ein neues Kommentarsystem für euch zu entwickeln! Bald könnt ihr dann auch über diesem Wege mit uns in Kontakt treten und wir freuen uns schon auf viele interessante Kommentare!