Leck in Microsofts ‘Application Verifier’ hebelt Antivirenlösungen aus

FirewallSicherheit

Ein undokumentiertes Feature im Microsoft Application Verifier birgt seit Windows XP bis Windows 10 ein Einfallstor für Hacker.

Forscher entdecken im Microsoft Application Verifier ein Sicherheitsleck, das es erlaubt, Antivirus-Programme zu übernehmen und darüber Angriffe auf Systeme auszuführen. Die Sicherheitsforscher von Cybellum, die den Fehler entdeckt haben, haben ihr über Github verfügbares Proof-of-Concept “DoubleAgent” getauft.

Ausgewählte Whitepaper

Vorteile elektronischen Rechnungsmanagements

Die elektronische Bearbeitung von Rechnungen – unabhängig davon, ob sie elektronisch oder auf Papier im Unternehmen eintreffen – beschleunigt den gesamten Bearbeitungsprozess bis hin zur Archivierung. Außerdem ist dieser Bereich ein oft gewählter Einstiegspunkt in eine erfolgreiche Digitalisierungsstrategie.

Mit der Malware seien die Forscher in der Lage gewesen, dauerhaft auf betroffenen Systemen Schad-Code einzuschleusen. Anstatt schädliche Aktivitäten vom System fernzuhalten, agieren die Sicherheitssysteme dann als Einfallstor und erlauben es, Berechtigungen zu stehlen oder Prozesse abzuändern oder auch die Sitzungen anderer Nutzer anzugreifen. Die Malware könne auch dafür verwendet werden, um die Antivirenlösung als Ransomware zu verwenden, die die Festplatte des Nutzers verschlüsselt.

DoubleAgent, also Doppelagent nennt sich ein Proof-of-Concept von den Sicherheitsexperten von Cybellum, über das Antiviren-Lösungen gekapert werden können. (Bild: Cybellum)
DoubleAgent, also Doppelagent nennt sich ein Proof-of-Concept von den Sicherheitsexperten von Cybellum, über das Antiviren-Lösungen gekapert werden können. (Bild: Cybellum)

Der Fehler liegt darin wie Microsoft Application Verifier .DLLs behandelt. Application Verifier ist eigentlich geschaffen, um Speicher-Korruptionen zu entdecken und zu beheben und auch, um kritische Sicherheitslecks aufzuspüren. Dabei werden in einem Prozess .DLLs in der Windows Registry festgelegt. Jedoch könne man, wie Cybellum in einem Blog erklärt, diese .DLL mit einer modifizierten Version austauschen.

Ausgewählte Whitepaper

Sicherheitsaspekte bei der Auswahl einer Lösung für EFSS

Bei der Entscheidung für eine Lösung zur Dateisynchronisierung und -freigabe (Enterprise File-Share and Sync) spielen in Unternehmen in der Regel mehrere Faktoren eine Rolle. Datensicherheit steht dabei meist ganz oben weit oben auf der Liste. Diese 12 Fragen sollten sie Anbietern daher auf alle Fälle stellen.

Daran sei laut den Forschern ein undokumentiertes Feature im Application Verifier schuld. “Sobald dieser angepasste Verifier eingefügt ist, bekomme der Anwender vollständige Kontrolle über die Applikation”, so Cybellum. Wenn das noch mit DoubleAngentDll.Dll zusammengeführt wird, dann kann diese DLL im Windows Loader bei jedem Neustart geladen werden, auch wenn das System aktualisiert oder gepatcht wurde. Ein einfacher Weg, dieses Leck zu Patchen sei es, statt Application Verifier auf Protected Process zu setzen.

Laut Cybellum sind Avast (CVE-2017-5567), AVG (CVE-2017-5566), Avira (CVE-2017-6417), Bitdefender (CVE-2017-6186), Trend Micro (CVE-2017-5565), ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal und Norton von dem Problem betroffen. Der Hersteller Malwarebytes hingegen bestreitet diese Darstellung und erklärt, dass die entsprechenden Lösungen des Herstellers zu keiner Zeit von dem Leck betroffen waren. Zudem ließe sich die Software über die Einstellungsoption “Selbstschutzmodul aktiviren” vor diesem Leck schützen.

Auch von Symantec gibt es inzwischen dazu eine Stellungnahme: “Nachdem wir diesen Fall untersucht haben, können wir beweisen, dass dieses Proof-of-Concept keine Produkt-Schwachstelle in Norton-Security ausnutzt. Es ist ein Versuch, ein installiertes Sicherheitsprodukt zu umgehen und setzt physischen Zugriff zum System und auch Admin-Rechter voraus, um erfolgreich ausgenutzt werden zu können. Wir wollen auch weiterhin unsere Kunden schützen und haben zusätzliche Detection und Block-Funktionen entwickelt und installiert, um Nutzer in dem unwahrscheinlichen Fall eines Angriffs zu schützen.”

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen