Heutzutage, ein Antivirus-Programm ist nicht genug um sicher zu sein, wie sich herausstellt. Eine neue Studie von Sicherheitsfirma Cybellum hat eine ernsthafte Zero-Day-Schwachstelle ausgegraben, die auf einem Windows-System installiert Angreifern, die Kontrolle über Antiviren-Programme ermöglicht. Nach Angaben der Forscher, der Fehler ist in allen bestehenden Windows-Versionen, mit Windows XP starten den ganzen Weg bis hin zu Windows 10 neuester Build.
Cybellum sagt der Zero-Day-nehmen „volle Kontrolle über die wichtigsten Antiviren-Programme und die nächste Generation Antiviren-Programme", fügte hinzu, dass „statt versteckt und läuft weg von dem Anti-Virus, Angreifer können nun direkt Angriff und die Entführung von Kontrolle über den Antivirus".
verbunden: CVE-2016-7855 Flash-Bug in Begrenzte Angriffe missbraucht
Der Angriff wird eingeleitet, wenn böswillige Akteure Code in das AV-Programm zu injizieren, also Ausnutzen des Zero-Day in Frage. Die Sicherheitslücke und der Angriff löst genannt wurden DoubleAgent, denn es stellt sich die AV-Sicherheitsagent in einen bösartigen Agenten des Benutzers, Forscher erklären. DoubleAgent gibt buchstäblich die Illusion, dass der AV anstelle das System schützt, während es tatsächlich die durch bösartige Elemente missbraucht worden.
Der Angriff nutzt eine 15-jährige Verwundbarkeit. Das Schlimmste ist, dass es noch von den meisten der betroffenen AV-Hersteller gepatcht werden, was bedeutet, dass es bei Angriffen in der Wildnis gegen Einzelpersonen und Organisationen eingesetzt werden könnten.
Sobald der Angreifer die Kontrolle über die Antivirus gewonnen, er kann es befehlen, bösartige Vorgänge im Namen des Angreifers durchführen. Da die Antivirus ist eine vertrauenswürdige Einheit betrachtet, jede schädliche Operation durch es getan hätte legitim betrachtet werden, geben dem Angreifer die Möglichkeit, alle Sicherheitsprodukte in der Organisation zu umgehen.
Nach Cybellum Forscher, eine weit verbreitete Reihe von großen AV-Lösungen sind betroffen, wie Avast, AVG, Avira, Bitdefender, Trendmicro, Komfortabel, CASE, Kaspersky, F-Secure, Malwarebytes, McAffee, Panda, Norton, Quick Heal.
Die Sicherheitslücke ist bereits in einigen AV identifiziert:
- Avast – CVE-2017-5567
- AVG – CVE-2017-5566
- Avira – CVE-2017-6417
- Bitdefender – CVE-2017-6186
- Trendmicro – CVE-2017-5565
Wie funktioniert DoubleAgent Arbeit Exploit?
Der Fehler nutzt ein legitimes Werkzeug von Microsoft in Windows angeboten und "Microsoft Application Verifier" genannt, die entworfen, um zu helfen, Entwickler lokalisieren Fehler in ihren Anwendungen. Das Werkzeug kann beeinträchtigt werden, an die Stelle des Standard-Prüfer nehmen mit einem benutzerdefinierten ein, bedeutete den Angreifer zu unterstützen Entführung der App.
Das Unternehmen hat sich in Kontakt mit den betroffenen AV-Hersteller bereits. Leider, nur zwei der Unternehmen haben einen Patch veröffentlicht (Malwarebytes und AVG).
verbunden: CVE-2017-3881 betrifft mehr als 300 Cisco Switches
Traurig, DoubleAgent die Fähigkeit zu injizieren Code auch nach einem Neustart des Systems macht es sehr schwierig zu entfernen.
Sobald eine Persistenz-Technik ist gut bekannt, Sicherheitsprodukte aktualisieren ihre Signaturen entsprechend. Also, wenn die Persistenz ist bekannt, es kann products.Being eine neue Ausdauer-Technik durch die Sicherheit erkannt und entschärft werden, Double Agent umgeht VON, NGAV und andere Endpunkt-Lösungen, und gibt einen Angreifer Fähigkeit, seinen Angriff auszuführen unerkannt ohne Zeitlimit.
Weitere technische Details sind in Cybellum Blog Post.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: