Leck in Microsofts ‘Application Verifier’ hebelt Antivirenlösungen aus

FirewallSicherheit

Ein undokumentiertes Feature im Microsoft Application Verifier birgt seit Windows XP bis Windows 10 ein Einfallstor für Hacker.

Forscher entdecken im Microsoft Application Verifier ein Sicherheitsleck, das es erlaubt, Antivirus-Programme zu übernehmen und darüber Angriffe auf Systeme auszuführen. Die Sicherheitsforscher von Cybellum, die den Fehler entdeckt haben, haben ihr über Github verfügbares Proof-of-Concept “DoubleAgent” getauft.

Ausgewählte Whitepaper

Was CEBP ist und wie es Ihrem Unternehmen helfen kann

Mittelständische Unternehmen haben in der Regel schon erhebliche Summen in CRM- und ERP-Systeme investiert. Zwar wurden damit viele strategische Ziele erreicht, ein wichtiger Aspekt lässt häufig aber immer noch zu wünschen übrig: der Kundenservice. Genau hier verspricht CEBP deutliche Verbesserungen und Effizienzsteigerungen.

Mit der Malware seien die Forscher in der Lage gewesen, dauerhaft auf betroffenen Systemen Schad-Code einzuschleusen. Anstatt schädliche Aktivitäten vom System fernzuhalten, agieren die Sicherheitssysteme dann als Einfallstor und erlauben es, Berechtigungen zu stehlen oder Prozesse abzuändern oder auch die Sitzungen anderer Nutzer anzugreifen. Die Malware könne auch dafür verwendet werden, um die Antivirenlösung als Ransomware zu verwenden, die die Festplatte des Nutzers verschlüsselt.

DoubleAgent, also Doppelagent nennt sich ein Proof-of-Concept von den Sicherheitsexperten von Cybellum, über das Antiviren-Lösungen gekapert werden können. (Bild: Cybellum)
DoubleAgent, also Doppelagent nennt sich ein Proof-of-Concept von den Sicherheitsexperten von Cybellum, über das Antiviren-Lösungen gekapert werden können. (Bild: Cybellum)

Der Fehler liegt darin wie Microsoft Application Verifier .DLLs behandelt. Application Verifier ist eigentlich geschaffen, um Speicher-Korruptionen zu entdecken und zu beheben und auch, um kritische Sicherheitslecks aufzuspüren. Dabei werden in einem Prozess .DLLs in der Windows Registry festgelegt. Jedoch könne man, wie Cybellum in einem Blog erklärt, diese .DLL mit einer modifizierten Version austauschen.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Daran sei laut den Forschern ein undokumentiertes Feature im Application Verifier schuld. “Sobald dieser angepasste Verifier eingefügt ist, bekomme der Anwender vollständige Kontrolle über die Applikation”, so Cybellum. Wenn das noch mit DoubleAngentDll.Dll zusammengeführt wird, dann kann diese DLL im Windows Loader bei jedem Neustart geladen werden, auch wenn das System aktualisiert oder gepatcht wurde. Ein einfacher Weg, dieses Leck zu Patchen sei es, statt Application Verifier auf Protected Process zu setzen.

Laut Cybellum sind Avast (CVE-2017-5567), AVG (CVE-2017-5566), Avira (CVE-2017-6417), Bitdefender (CVE-2017-6186), Trend Micro (CVE-2017-5565), ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal und Norton von dem Problem betroffen. Der Hersteller Malwarebytes hingegen bestreitet diese Darstellung und erklärt, dass die entsprechenden Lösungen des Herstellers zu keiner Zeit von dem Leck betroffen waren. Zudem ließe sich die Software über die Einstellungsoption “Selbstschutzmodul aktiviren” vor diesem Leck schützen.

Auch von Symantec gibt es inzwischen dazu eine Stellungnahme: “Nachdem wir diesen Fall untersucht haben, können wir beweisen, dass dieses Proof-of-Concept keine Produkt-Schwachstelle in Norton-Security ausnutzt. Es ist ein Versuch, ein installiertes Sicherheitsprodukt zu umgehen und setzt physischen Zugriff zum System und auch Admin-Rechter voraus, um erfolgreich ausgenutzt werden zu können. Wir wollen auch weiterhin unsere Kunden schützen und haben zusätzliche Detection und Block-Funktionen entwickelt und installiert, um Nutzer in dem unwahrscheinlichen Fall eines Angriffs zu schützen.”

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen