Einige Antiviren-Programme können von Hackern missbraucht werden, um beliebige Dateien auf einem fremden Rechner zu löschen. Neben Nutzerdaten lassen sich auch Systemdateien entfernen. Die Sicherheitslücke betrifft unter anderem EDR-Tools von Microsoft und Avast.
Ein Sicherheitsforscher von SafeBreach hat herausgefunden, dass manche Endpoint Detection and Response-Systeme (EDR) und Antiviren-Programme dazu gebracht werden können, Nutzerdaten zu zerstören. Sobald die Anwendungen eine bösartige Datei erkennen, wird sie gelöscht oder in Quarantäne gesteckt. Das ist jedoch nicht möglich, wenn die Datei offen gehalten wird. Das EDR-Tool schlägt dem Nutzer einen Neustart vor, damit die Bedrohung entfernt werden kann. Der Befehl zum Löschen der Datei wird als Wert in der Registry abgespeichert, sodass das Betriebssystem die Schadsoftware löschen kann.
Vor dem Neustart kann ein bösartiges Skript den temporären Ordner mit der absichtlich platzierten Bedrohung allerdings selbst löschen und einen Verweis auf ein anderes Verzeichnis setzen. Nach dem Neustart folgt Windows dem Link ohne weitere Prüfung und entfernt eine dort vorhandene Datei mit identischem Namen, obwohl von dieser kein Risiko ausgeht.
Das Verfahren funktioniert in Zusammenhang mit dem Microsoft Defender und den Produkten von SentinelOne, TrendMicro, Avast sowie AVG. Lösungen von Palo Alto, Cylance, CrowdStrike, McAfee und Bitdefender sind nicht betroffen.
Löschung auch ohne Berechtigung
Die zur Löschung vorgesehene Datei wird auch dann entfernt, wenn der Nutzer des Systems eigentlich nicht über die zur Bearbeitung notwendigen Rechte verfügt. Demnach können auch Systemdateien gelöscht und der Rechner hiermit komplett unbrauchbar gemacht werden.
Dass die Schwachstelle bereits in der Praxis ausgenutzt wird, dürfte aufgrund des nicht gerade geringen Aufwands relativ unwahrscheinlich sein. Trotzdem besteht die Möglichkeit, dass eine zukünftige Malware die Sicherheitslücke verwendet, um Schaden anzurichten. Da der Bug vor der Veröffentlichung an die Entwickler der Antiviren-Apps gesendet wurde, stehen für die meisten Tools inzwischen Patches zur Verfügung. Sofern die Patches noch nicht automatisch geladen wurden, sollten die Nutzer die Updates schnellstmöglich installieren.
Quelle; winfuture
Ein Sicherheitsforscher von SafeBreach hat herausgefunden, dass manche Endpoint Detection and Response-Systeme (EDR) und Antiviren-Programme dazu gebracht werden können, Nutzerdaten zu zerstören. Sobald die Anwendungen eine bösartige Datei erkennen, wird sie gelöscht oder in Quarantäne gesteckt. Das ist jedoch nicht möglich, wenn die Datei offen gehalten wird. Das EDR-Tool schlägt dem Nutzer einen Neustart vor, damit die Bedrohung entfernt werden kann. Der Befehl zum Löschen der Datei wird als Wert in der Registry abgespeichert, sodass das Betriebssystem die Schadsoftware löschen kann.
Vor dem Neustart kann ein bösartiges Skript den temporären Ordner mit der absichtlich platzierten Bedrohung allerdings selbst löschen und einen Verweis auf ein anderes Verzeichnis setzen. Nach dem Neustart folgt Windows dem Link ohne weitere Prüfung und entfernt eine dort vorhandene Datei mit identischem Namen, obwohl von dieser kein Risiko ausgeht.
Das Verfahren funktioniert in Zusammenhang mit dem Microsoft Defender und den Produkten von SentinelOne, TrendMicro, Avast sowie AVG. Lösungen von Palo Alto, Cylance, CrowdStrike, McAfee und Bitdefender sind nicht betroffen.
Löschung auch ohne Berechtigung
Die zur Löschung vorgesehene Datei wird auch dann entfernt, wenn der Nutzer des Systems eigentlich nicht über die zur Bearbeitung notwendigen Rechte verfügt. Demnach können auch Systemdateien gelöscht und der Rechner hiermit komplett unbrauchbar gemacht werden.
Dass die Schwachstelle bereits in der Praxis ausgenutzt wird, dürfte aufgrund des nicht gerade geringen Aufwands relativ unwahrscheinlich sein. Trotzdem besteht die Möglichkeit, dass eine zukünftige Malware die Sicherheitslücke verwendet, um Schaden anzurichten. Da der Bug vor der Veröffentlichung an die Entwickler der Antiviren-Apps gesendet wurde, stehen für die meisten Tools inzwischen Patches zur Verfügung. Sofern die Patches noch nicht automatisch geladen wurden, sollten die Nutzer die Updates schnellstmöglich installieren.
Quelle; winfuture
