Mit einem einfachen Trick konnten Sicherheitsforscher 28 Antivirenprogramme dazu bringen, sich selbst auszuhebeln.


Bild: Pixabay

Antivirenprogramme halten rund um die Uhr Ausschau nach möglicher Schadsoftware. Dafür werden alle neu auf dem PC abgelegten Dateien überprüft. Wird eine Bedrohung erkannt, so werden die entsprechenden Dateien anschließend in einen abgesicherten Bereich verschoben oder direkt gelöscht. Zwischen dem Erkennen und dem Verschieben/Löschen der Dateien gibt es allerdings noch ein kleines Zeitfenster, in welchem die Angreifer theoretisch reagieren können.

Die Sicherheitsforscher von Rack911 Labs haben dieses Zeitfenster ausgenutzt, um die Antivirenprogramme auf eine falsche Fährte zu locken. Dafür mussten sie lediglich den als bösartig erkannten Ordner durch eine Weiterleitung auf einen anderen Ordner ersetzen, bevor dieser gelöscht wird. Die Antivirenprogramme folgten anschließend der Weiterleitung und löschten dann dort die entsprechenden Dateien. Da die Programme mit Root-Rechten laufen, war es sogar möglich, systemrelevante Dateien zu entfernen – oder auch das Antivirenprogramm selbst.



MacOS- und Linux-Systeme sind von dem Problem übrigens genauso betroffen wie Windows-PCs. Den Forschern zufolge habe man die Sicherheitslücke schon vor Monaten an die entsprechenden Entwickler weitergeleitet. Die meisten von ihnen hätten die Lücke in der Zwischenzeit auch geschlossen, aber nicht alle. Um den Druck auf die Entwickler zu erhöhen, habe man nun den Bericht veröffentlicht. Die Sicherheitsforscher weisen darauf hin, dass die oben angeführte Liste lediglich die Antivirenprogramme beinhaltet, die auch direkt von den Forschern getestet wurden. Sie gehen davon aus, dass darüber hinaus noch einige weitere Anwendungen betroffen sind.

[Nachtrag: 29.04.2020] Nach eigenen Aussagen trifft das im Artikel beschriebene Szenario nicht auf Avast und AVG Antivirus (Gratis- und Premium-Versionen) zu, da Checks, durchgeführt von Avast und AVG File Shield, den Angriff erkennen und blocken würden.

Quelle: Rack911 Labs

0 0 votes
Article Rating