Populäre Anti-Viren-Programme können leicht ausgehebelt werden
Dieser Artikel ist älter als ein Jahr!
Sicherheitsforscher von Rack911 Labs haben die Anti-Viren-Software zahlreicher Hersteller unter die Lupe genommen. Dabei haben sie festgestellt, dass sich fast jede Software manipulieren und dadurch zu einem zerstörerischen Tool machen lässt. Zu den überprüften Programmen zählen unter anderem der Microsoft Defender, McAfee Endpoint Security oder Kaspersky. Alle Programme haben Bugs, die es erlauben, sie zu kompromittieren.
Wie sie vorgingen
Um die Programme auszuhebeln, bedienten sich die Sicherheitsforscher Verknüpfungen, sogenannter Directory Junctions bzw. Symlinks. Dabei kam es hauptsächlich auf das Timing an.
Es galt den Zeitpunkt auszunutzen, zwischen dem ein Virenscanner eine bestimmte Datei als schadhaft erkennt und dem tatsächlichen Entfernen des Files. In diesem kurzen Moment wurde die Umleitung gesetzt und anstelle der tatsächlich schadhaften Datei wurde das solcherart verknüpfte File gelöscht.
Das Vorgehen wurde auch in mehreren Videos dokumentiert.
Um den Code auszuführen, müssen Angreifer aber zuvor in das jeweilige Computersystem eindringen. Aus diesem Grund, besteht die Gefahr an den Bugs mehr darin, dass bestehende Angriffe ausgeweitet, anstatt neue initiiert werden können.
Hersteller kontaktiert
Die Sicherheitsforscher haben die Hersteller der Anti-Viren-Software kontaktiert und auf die Problematik aufmerksam gemacht. Teilweise wurde die Lücke auch bereits geschlossen.
Kommentare