Digital Eliteboard

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwert bleiben

Hardware & Software Sicherheitsforscher hebelten Antiviren-Programme der größten Anbieter komplett aus

josef.13

Moderator
Teammitglied
Mitglied seit
1. Juli 2009
Beiträge
21.025
Erhaltene Reaktionen
24.074
Die Sicherheitsforscher von Rack911 Labs haben in einem Versuch gezeigt, dass sich die verbreitesten Antiviren-Programme mit einfachen Tricks komplett aushebeln lassen. Ein entsprechendes Experiment führte man sowohl unter Windows als auch unter macOS und Linux durch. Immerhin: Mittlerweile haben die meisten Anbieter Patches veröffentlicht, um die im Folgenden erwähnten Fehler zu korrigieren.

proxy.jpg

Laut Rack911Labs seien auch weitere Anbieter von Antivirus-Software betroffen, nicht nur die hier erwähnten. Da viele Leser nachgefragt hätten, habe man sich auch Programme kleinerer Firmen vorgenommen – jede weitere geprüfte Software war ebenfalls verwundbar. Die erste Untersuchung führte man aber an den Virenscannern folgender Unternehmen durch:

  • Kaspersky
  • Microsoft
  • McAfee
  • Eset
  • F-secure
  • Sophos
  • Avira
  • Bitdefender
  • Webroot
Was genau machte man aber? Nun, man nutzte aus, dass Antiviren-Software im jeweiligen OS mit vielen Privilegien arbeiten muss, denn schließlich will die Software ja automatisch jede neue Datei scannen, um das System zu sichern. So gibt es ein kleines Zeitfenster, das zwischen dem Scannen und der Erkennung von Malware sowie der danach folgenden Verschiebung in die Quarantäne / Löschung liegt. Da setzte man mit Directory Junctions (Windows) bzw. Symlinks (Linux und macOS) an. Directory Junctions verknüpfen zwei Verzeichnisse, während Symlinks quasi Shortcuts zu weiteren Dateien darstellen. Für beide Vorgänge sind keine Admin-Rechte notwendig.

So konnte man nun das erwähnte Zeitfenster nutzen, um entsprechend über die genannten Vorgänge Dateien im System oder der Antivirus-Software zu entfernen. Es kommt quasi nur auf das richtige Timing an. Je nach Software konnten die Forscher auch einfach mit einem Loop arbeiten, sodass der Angriff dann irgendwann zeitlich passte.


In seinem Blog hat Rack911Labs auch Proof-of-Concept-Beispiele für Windows, macOS und Linux veröffentlicht. Folgende Software ist von dem Problem betroffen:


Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!


Man hat natürlich die Hersteller kontaktiert, welche das Problem dann bestätigten – und wie eingangs erwähnt in fast allen Fällen mittlerweile behoben haben. Die Sicherheitsforscher weisen aber eben darauf hin, dass die Listen nur die getesteten Produkte enthalten und damit nicht das Ausmaß der betroffenen Antiviren-Programme widerspiegeln. Denn der Fehler sollte auch andere Scanner kompromittieren.

Durch die Veröffentlichung eines Berichts zu den Problemen hofft man nun, dass der Druck auf die Hersteller wächst, um sich der Sache anzunehmen und möglicherweise zu überdenken, wie die Antivirus-Software auf Dateien und Ordner zugreift.

Quelle; Caschy
 

ss0969

Newbie
Mitglied seit
21. September 2012
Beiträge
2
Erhaltene Reaktionen
1
In der Liste steht doch Microsoft. Damit wird wohl der Windows Defender gemeint sein.
 
Zuletzt bearbeitet von einem Moderator:

Phelbes

Hacker
Mitglied seit
17. Januar 2010
Beiträge
331
Erhaltene Reaktionen
187
Ich nutze seit ewigen Zeiten Symantec. Die werden auch nicht erwähnt.
Und wenn Großkonzerne die Symantecprodukte nutzen kann ich das auch... :hearteyes:
 

Katze Flohli

Ist oft hier
Mitglied seit
9. August 2012
Beiträge
160
Erhaltene Reaktionen
813
Ja und Eset auch ... :smiley:

nur keine Panic es gibt bestimmt im UG noch viele undokumentierte Schwachstellen von denen wir noch nicht einmal ahnen das so etwas möglich sein könnte.
Ich sage da nur automatische Updates ...
 

maikyyy

Meister
Mitglied seit
24. Oktober 2013
Beiträge
748
Erhaltene Reaktionen
484
Das Ergebnis ist aber auch schon ordentlich alt und nicht mehr aktuell. Der Markt ist ständig in Bewegung und die Gegenseite auch, also pauschal zu sagen einer ist der Beste, Schwachsinn!
 
Ihre E-Mail-Adresse ist nicht öffentlich sichtbar. Wir werden Ihre E-Mail nur verwenden, um Sie zu kontaktieren, um Ihren Beitrag zu bestätigen.
Oben