News

AVGater: Exploit nutzt Quarantäne zur Infektion durch Malware

Petya 2 Virus

Die Gefahr durch Malware steigt immer mehr und selbige wird immer raffinierter. Kein Wunder, dass ein regelrechter Wettlauf zwischen den Entwicklern von Antivirensoftware und denen von Malware herrscht. Dem Endnutzer bleibt nur die Hoffnung, dass neue Gefahren schnell erkannt und entsprechende Updates veröffentlicht werden.

Der österreichische IT-Sicherheitsexperte entdeckte nun einen Exploit, der es Malware ermöglicht, die Waffen der Antivirensoftware gegen den Nutzer zu wenden. Betroffen ist hier das übliche Vorgehen, verdächtige Dateien in Quarantäne zu stecken. Laut Bogner ist es durch diesen AVGater genannten Exploitmöglich, Dateien wieder aus der Quarantäne zu holen, ohne dass der Angreifer Adminrechte hat.

Der Angreifer muss zuerst einen Schadcode zur Änderung der Laufwerksverknüpfungen in NTFS-Laufwerken ausführen und so die Wiederherstellung von Dateien aus der Quarantäne manipulieren. Anschließend wird die Malware direkt im Systemlaufwerk unter C:/Windows in einem Unterverzeichnis wiederhergestellt. Normalerweise brauchen Nutzer Adminrechte, um auf dem Systemlaufwerk Daten abzulegen, das Ablegen der Dateien erfolgt allerdings durch die Virensoftware, welche die erforderlichen Rechte hat. Einige DLL-Dateien werden beim Start automatisch geladen, nutzt der Angreifer dies aus, wird die Malware als Windowsdienst gestartet.

Schema eines Angriff über AVGater

Vereinfacht heißt das: Durch Missbrauch der NTFS-Verzeichnisverknüpfungen lässt sich der Wiederherstellungsprozess so manipulieren, dass verdächtige Dateien beliebig ins Systemverzeichnis geschrieben werden können.

Betroffen waren unter anderem Kaspersky, Malwarebytes, ZoneAlarm, Trend Micro, Emsisoft und Ikarus. Jedoch reagierten diese bereits auf die Veröffentlichungen Bogers und erstellten Patches, die schon verteilt werden. Weitere Anbieter werden noch folgen.

Boger selbst rät dazu, Antivirensoftware auf dem aktuellsten Stand zu halten um das Risiko zu minimieren. Außerdem ist es ratsam, vor allem in Unternehmensnetzwerken, die Wiederherstellung aus der Quarantäne normalen Nutzern zu verbieten.


Quelle bogner.sh via Neowin

Vorheriger Artikel

Erste Benchmarks zu Windows 10 ARM Geräten aufgetaucht

Nächster Artikel

Microsofts neues Selbstbewusstsein: "Sie müssen sich einen echten PC besorgen!"

Der Autor

Florian_L

Florian_L

"Seal the deal and let's boogie for a while"

3
Hinterlasse einen Kommentar

avatar
2 Comment threads
1 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
3 Comment authors
CoffeCapsuleYetAnotherFrankhm Recent comment authors
  Diskussion abonnieren  
neuste älteste beste Bewertung
Benachrichtige mich zu:
hm
Mitglied

Dann könnte ja ein Passwort wie beim Kaspersky als Schutz reichen, anders sollte ja die Freigabe der Datei nicht möglich sein.

YetAnotherFrank
Mitglied

Wie sieht’s beim Windows Defender aus?

CoffeeCapsule
Mitglied

War von dieser Lücke nicht betroffen. Der Defender ist wohl “by Design” immun gegen solche Angriffe, da er Zugriffe auf die Quarantäne erst gar nicht zulässt.

Siehe hier: https://blogs.technet.microsoft.com/mmpc/2017/11/13/avgater-vulnerability-does-not-affect-windows-defender-antivirus/