Sicherheitsforscher hebelten Antiviren-Programme der größten Anbieter komplett aus

0

Laut Rack911Labs seien auch weitere Anbieter von Antivirus-Software betroffen, nicht nur die hier erwähnten Da viele Leser nachgefragt hätten, habe man sich auch Programme kleinerer Firmen vorgenommen – jede weitere geprüfte Software war ebenfalls verwundbar Die erste Untersuchung führte man aber an den Virenscannern folgender Unternehmen durch:

Die Sicherheitsforscher von Rack911 Labs haben in einem Versuch gezeigt, dass sich die verbreitesten Antiviren-Programme mit einfachen Tricks komplett aushebeln lassen.

Ein entsprechendes Experiment führte man sowohl unter Windows als auch unter macOS und Linux durch.

Immerhin: Mittlerweile haben die meisten Anbieter Patches veröffentlicht, um die im Folgenden erwähnten Fehler zu korrigieren.

Tun Sie mir einen Gefallen: Bitte TEILEN Sie diesen Beitrag.

In seinem Blog hat Rack911Labs auch Proof-of-Concept-Beispiele für Windows, macOS und Linux veröffentlicht.

Folgende Software ist von dem Problem betroffen:

So konnte man nun das erwähnte Zeitfenster nutzen, um entsprechend über die genannten Vorgänge Dateien im System oder der Antivirus-Software zu entfernen.

Es kommt quasi nur auf das richtige Timing an.

Je nach Software konnten die Forscher auch einfach mit einem Loop arbeiten, sodass der Angriff dann irgendwann zeitlich passte.

Was genau machte man aber? Nun, man nutzte aus, dass Antiviren-Software im jeweiligen OS mit vielen Privilegien arbeiten muss, denn schließlich will die Software ja automatisch jede neue Datei scannen, um das System zu sichern.

So gibt es ein kleines Zeitfenster, das zwischen dem Scannen und der Erkennung von Malware sowie der danach folgenden Verschiebung in die Quarantäne / Löschung liegt.

Da setzte man mit Directory Junctions (Windows) bzw.

Symlinks (Linux und macOS) an.

Directory Junctions verknüpfen zwei Verzeichnisse, während Symlinks quasi Shortcuts zu weiteren Dateien darstellen.

Für beide Vorgänge sind keine Admin-Rechte notwendig.

Man hat natürlich die Hersteller kontaktiert, welche das Problem dann bestätigten – und wie eingangs erwähnt in fast allen Fällen mittlerweile behoben haben.

Die Sicherheitsforscher weisen aber eben darauf hin, dass die Listen nur die getesteten Produkte enthalten und damit nicht das Ausmaß der betroffenen Antiviren-Programme widerspiegeln.

Denn der Fehler sollte auch andere Scanner kompromittieren.

Durch die Veröffentlichung eines Berichts zu den Problemen hofft man nun, dass der Druck auf die Hersteller wächst, um sich der Sache anzunehmen und möglicherweise zu überdenken, wie die Antivirus-Software auf Dateien und Ordner zugreift.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

tekk.tv TechnologieNachrichten

Share.

Leave A Reply