News

AVGater: Exploit nutzt Quarantäne zur Infektion durch Malware

Petya 2 Virus

Die Gefahr durch Malware steigt immer mehr und selbige wird immer raffinierter. Kein Wunder, dass ein regelrechter Wettlauf zwischen den Entwicklern von Antivirensoftware und denen von Malware herrscht. Dem Endnutzer bleibt nur die Hoffnung, dass neue Gefahren schnell erkannt und entsprechende Updates veröffentlicht werden.

Der √∂sterreichische IT-Sicherheitsexperte entdeckte nun einen Exploit, der es Malware erm√∂glicht, die Waffen der Antivirensoftware gegen den Nutzer zu wenden. Betroffen ist hier das √ľbliche Vorgehen, verd√§chtige Dateien in Quarant√§ne zu stecken. Laut Bogner ist es durch diesen AVGater genannten Exploitm√∂glich, Dateien wieder aus der Quarant√§ne zu holen, ohne dass der Angreifer Adminrechte hat.

Der Angreifer muss zuerst einen Schadcode zur √Ąnderung der Laufwerksverkn√ľpfungen in NTFS-Laufwerken ausf√ľhren und so die Wiederherstellung von Dateien aus der Quarant√§ne manipulieren. Anschlie√üend wird die Malware direkt im Systemlaufwerk unter C:/Windows in einem Unterverzeichnis wiederhergestellt. Normalerweise brauchen Nutzer Adminrechte, um auf dem Systemlaufwerk Daten abzulegen, das Ablegen der Dateien erfolgt allerdings durch die Virensoftware, welche die erforderlichen Rechte hat. Einige DLL-Dateien werden beim Start automatisch geladen, nutzt der Angreifer dies aus, wird die Malware als Windowsdienst gestartet.

Schema eines Angriff √ľber AVGater

Vereinfacht hei√üt das: Durch Missbrauch der NTFS-Verzeichnisverkn√ľpfungen l√§sst sich der Wiederherstellungsprozess so manipulieren, dass verd√§chtige Dateien beliebig ins Systemverzeichnis geschrieben werden k√∂nnen.

Betroffen waren unter anderem Kaspersky, Malwarebytes, ZoneAlarm, Trend Micro, Emsisoft und Ikarus. Jedoch reagierten diese bereits auf die Veröffentlichungen Bogers und erstellten Patches, die schon verteilt werden. Weitere Anbieter werden noch folgen.

Boger selbst rät dazu, Antivirensoftware auf dem aktuellsten Stand zu halten um das Risiko zu minimieren. Außerdem ist es ratsam, vor allem in Unternehmensnetzwerken, die Wiederherstellung aus der Quarantäne normalen Nutzern zu verbieten.


Quelle bogner.sh via Neowin

Vorheriger Artikel

Erste Benchmarks zu Windows 10 ARM Geräten aufgetaucht

Nächster Artikel

Microsofts neues Selbstbewusstsein: "Sie m√ľssen sich einen echten PC besorgen!"

Der Autor

Florian_L

Florian_L

"Seal the deal and let's boogie for a while"

Hinterlasse einen Kommentar

3 Kommentare auf "AVGater: Exploit nutzt Quarantäne zur Infektion durch Malware"

Benachrichtige mich zu:
avatar
Sortiert nach:   neuste | √§lteste | beste Bewertung
wpDiscuz