[English]Sicherheitsforscher von Rack911 Labs beschreiben eine Technik, mit der sich fast jede Antivirus-Software unter Windows oder macOS aushebeln und deaktivieren lässt – zumindest, solange der Hersteller keine Schutzmechanismen dagegen implementiert.
Antiviren-Software soll eigentlich vor bösartigen Bedrohungen schützen. Aber was wäre, wenn dieser Schutz heimlich deaktiviert werden könnte, bevor eine Bedrohung überhaupt durch die AV-Software neutralisiert werden kann? Was wäre, wenn dieser Schutz manipuliert werden könnte, um bestimmte Dateioperationen durchzuführen, die es ermöglichen würden, das Betriebssystem zu kompromittieren oder einfach durch einen Angreifer unbrauchbar zu machen?
Ich gesteht, so ganz spontan ging mir mein Artikel SCEP/MSE/Defender: Weltweiter Ausfall von Microsofts Virenschutz durch Signatur 1.313.1638.0 (16.4.2020) durch den Kopf, als ich vor einigen Stunden über nachfolgenden Tweet stolperte.
Exploiting (Almost) Every Antivirus Software – RACK911 Labs https://t.co/N84DjNTjED
— F. Javier Santiago (@n0ipr0cs) April 20, 2020
Sicherheitsforscher von RACK911 Labs beschreiben in diesem Artikel Techniken, mit denen sich fast jede Antivirus-Software unter Windows oder macOS aushebeln und deaktivieren lässt (bzw. ließ, einige Anbieter haben was nachgebessert – aber im Zweifelsfall müsste man den Test wiederholen).
Der Ansatz: Wird eine unbekannte Datei auf der Festplatte gespeichert, führt die Antiviren-Software in der Regel entweder sofort oder innerhalb weniger Minuten einen „Echtzeit-Scan“ durch. Stellt die unbekannte Datei eine vermutete Bedrohung dar, wird sie automatisch in Quarantäne gestellt und an einen sicheren Ort verschoben oder sie wird einfach gelöscht.
Der Virenscanner läuft dabei mit höchsten Privilegien, um die Prüfung auszuführen. Die eröffnet die Möglichkeit, eine Vielzahl von Sicherheitslücken anzugreifen und verschiedene Race Conditions auszunutzen.
Was die meisten Antivirenprogramme nicht berücksichtig(t)en, ist das kleine Zeitfenster zwischen dem ersten Datei-Scan, bei dem die bösartige Datei erkannt wird, und der Bereinigungsoperation, die unmittelbar danach stattfindet. Ein böswilliger lokaler Benutzer oder Malware-Autor ist dadurch ggf. in der Lage, eine Race Condition über eine Verzeichnis-Junktion (Windows) oder einen Symlink (Linux & MacOS) auszuführen. Dieser kann die privilegierten Dateioperationen auszunutzen zu versuchen, um die Antiviren-Software zu deaktivieren oder in das Betriebssystem einzugreifen, um es unbrauchbar zu machen usw.
Bei Tests unter Windows, MacOS und Linux konnten die Sicherheitsforscher wichtige Dateien, die von der Antiviren-Software gebraucht wird, unwirksam machen und , problemlos löschen. Es konnten sogar wichtige Betriebssystemdateien gelöscht werden.Unter Windows lassen sich zwar nur Dateien löschen, die nicht in Gebrauch sind. Aber einige Antiviren-Software kann solche Dateien beim nächsten Neustart des Systems entfernen.
Die Sicherheitsforscher legen in diesem Artikel ein Proof of Concept offen, dass diesen Ansatz zeigt. In einem Video wird der Angriff demonstriert. Kann man bei Interesse an jedem aktuellen AV-Produkt probieren, um zu sehen, ob das diesbezügliche Schwachstellen aufweist. Unter Windows haben die Sicherheitsforscher im Laufe der Zeit folgende Produkte getestet:
Avast Free Anti-Virus
Avira Free Anti-Virus
BitDefender GravityZone
Comodo Endpoint Security
F-Secure Computer Protection
FireEye Endpoint Security
Intercept X (Sophos)
Kaspersky Endpoint Security
Malwarebytes for Windows
McAfee Endpoint Security
Panda Dome
Webroot Secure Anywhere
und konnten diese in den beim Test verfügbaren Versionen erfolgreich deaktivieren. Da ist quasi alles dabei, was so in deutschen Stuben auf den Windows-PCs tobt. Die AV-Herstelleer wurden jeweils über diese Erkenntnisse informiert.
Ergänzung: Wegen der schon losgebrochenen Diskussion. Beachtet bitte, dass das kein Test ‚dieser Scanner ist gut, der ist schlecht‘ ist. Der Artikel der Sicherheitsforscher ist eine Momentaufnahme. Wie in einem Kommentar erwähnt wird, läuft das Ganze seit 2018 und die Anbieter haben jeweils einen individuellen Bericht über Schwachstellen bekommen. Manche AV-Anbieter haben nachgebessert. Nach 6 Monaten Karenzzeit haben die Sicherheitsforscher beschlossen, die Erkenntnisse offen zu legen. Der Fall zeigt mir aber, dass man nicht genug aufpassen kann (und es wäre nicht der erste Fix, der neue Schwachstellen aufreißt). Wir hatten hier in den Kommentaren ja schon die Diskussion um Microsofts Tamper Protection (Manipulationsschutz), wo Kanthak seine Meinung zu bestimmten Maßnahmen kund tat.
Soeben hatte ich ein neues Update für den Windows Defender, und zwar
KB4052623 ( Version 4. 18. 2004. 6 )
Das Update kam bei mir über Windows Update – Updatesuche.
yo, ist ungefähr so relevant und auf den Artikel bezogen wie: „hab grad geatmet“…
:-P
Hatte aber den gleichen Gedanken – einfach nonchalant drüber hinweg sehen – wenn es bei dem einen Kommentar bleibt – ;-).
Hier ist dieses Update noch nicht aufgetaucht (auch nicht nach Suche in Updates). Im Updatekatalog ist das neueste Update mit dieser KB-Nummer vom 24.03.2020.
Auch nach der Installation von dem neuen Update funktioniert der WDO immer
noch nicht richtig. Bei 91 % und ca. 15000 Elementen ist Feierabend.
Die Ergebnisse werden nicht angezeigt. Das Ding ist kaputt und Microsoft merkt
immer noch nichts.
Hier läuft der Defender ohne Probleme. Automatische Prüfung mit nachfolgender Meldung ob was gefunden wurde. Benutzerdefinierte Überprüfung, Vollständige Überprüfung und Schnellüberprüfung auch durchgelaufen mit anschließender Meldung.
zb.: Vollstendige Überprüfung, ~ 630000 Dateien, Zeit ~ 55 Minuten (auf SSD).
Zum Thema: die Großen und wichtigen AV-Hersteller werden sicher schon auf das Problem reagiert haben, hoffe ich zu mindest.
Ich habe hier privat einen Windows 10 Rechner, der über insgesamt 20 TB Platte hat als Heimserver. Liegt viel Zeugt drauf, von riesigen Videodateien über MP3, Installern bis Millionen von Kleinstdateien, leztzteres ist insbesondere eine Softwaresammlung für Heimcomputer (C64, Atari, Amiga, CP/M, MS-DOS). Defender hat damit keine Probleme, und findet gelegentlich sogar mal was, meistens False-Posivives, weil Binärcode für einen 6502 oder 68000 Prozessor unter Windows eben keinen Schaden anrichten kann… Ein Komplettscan aller Dateien würde Wochen dauern…
Hmmm, da haben die Sicherheitsforscher alle möglichen Programme getestet und verworfen. Bloß dem MS-eigenen Defender bleibt die Schande erspart – – – weil er gar nicht erst geprüft wurde!?
Das nenne ich unseriös!
Das ist ein guter Hinweis. Die Auswahl wirkt tatsächlich willkürlich. Wenn man bedenkt, wie viel unterschiedliche Produkte allein bei VirusTotal im Einsatz sind, müssten die Macher der Untersuchung eigentlich schon erklären, warum sie gerade diese Programme einem Test unterzogen haben und warum zum Beispiel den Windows Defender (der unter Windows 10 einen hohen Marktanteil erobert hat) ausgerechnet nicht … BullGuard und GData sind auch nicht dabei. Die beiden Produkte wäre auch interessant gewesen, weil sie vor längerer Zeit bei einem Test von Stiftung Warentest Testsieger gewesen waren.
Hallo Ralf,
ich habe hier bei mir den PoC in einer Testumgebung auf ein G Data Business v14.3 getestet. Konnte es aber nicht dazu bringen, dass es irgendeine Datei willkürlich löscht.
Interessant. Danke für die Info.
Falsches Argument bzw. Denkfehler, so gerne ich euch stützen würde. Der Ansatz der Sicherheitsforscher war kein Test ‚Welcher Virenscanner ist am pertinentesten gegen unsere Angriffe‘ – sondern die sind imho zufällig auf den Effekt einer Race-Condition gestoßen, die bestimmte Szenarien zulässt.
Nachdem klar war, dass es bei einer AV-Software funktioniert, hat man diverse weitere Produkte, die verfügbar waren, darauf getestet, ob der Exploit funktioniert.
Wenn ich einen Bericht von Sicherheitsforschern sehe, die eine Schwachstelle in Produkt/Software XYZ, Version abc gefunden haben und angeben ‚ich habe die Varianten getestet, möglicherweise sind weitere Varianten auch angreifbar‘, habe ich in diesem Kontext noch nie die sofortige Replik ‚das ist aber unseriös‘ vernommen.
So sehr ich den Reflex von euch verstehen kann – den Leuten, die den Angriffsvektor offen gelegt haben, ‚Unseriösität zu unterstellen, weil der Defender nicht auftaucht‘, fällt in meinen Augen genau in diese Kategorie.
Ist aber nur meine persönliche Meinung und nicht verschnupft sein, dass ich dies hier so offen äußere.
Die Diskussion verläuft für mich zu schnell in ‚klein klein‘ – Ziel des Beitrags war es, die Leute, die sich für Sicherheit und Schwachstellen interessieren, auf ein Szenario hinzuweisen – und nicht ‚der Virenscanner ist gut und der ist bäh‘ – und ist längst gefixt hinzuweisen. Aus diesem Sessel bin ich seit einigen Jahren raus ….
Zudem verweist ja ein weiterer Kommentar darauf, dass die AV-Hersteller teilweise nachgebessert haben. Man könnte also testen, ob der aktuelle Virenscanner angreifbar ist.
Doch, es ist sehr wohl unseriös, namentlich einige willkürlich ausgewählte Programme aufzulisten und damit als schwarze Schafe hinzustellen, wenn das Problem ALLE betrifft!
Dabei ausgerechnet den Virenschutz außen vor zu lassen, der integrierter Bestandteil des kompromittierten Betriebssystems ist, mutet schon ausgesprochen willkürlich an.
Und die Liste nennt ja ausdrücklich nicht jene Programme, bei denen das Problem immer noch nicht gelöst wurde. Die sogenannten Forscher haben „im Laufe der Zeit“ irgendwelche Versionen dieser Programme getestet. Das sagt über den heutigen Stand rein gar nichts aus.
So streut man den Anwendern Sand in die Augen. Reflex bei vielen Leuten ist doch dann genau: „Dann werfe ich das nutzlose Schlangenöl runter und vertraue auf das, was Microsoft mitliefert!“
Derartige Sicherheitsinformationen schaden wirklich mehr als sie nützen.
Solange nicht alle AVs getestet wurden, kann man nicht behaupten, es betrifft alle AV Software!
Wahrscheinlich hatten diese Forscher nicht genug Taschengeld, um sich auch die anderen Produkte zu kaufen, um sie zu testen. Ok, Defender ist kostenlos, keine Ahnung welchen Teufel die geritten haben, den nicht zu testen.
Aber vielleicht bedeutet ja eine Nicht-Nennung, dass das Problem mit dem Produkt nicht auftritt.
Letztendlich zeigt uns der Test, dass der Einsatz eines Antivirus, egal welcher, nicht der einzige Schutz ist, auf den man sich verlassen sollte. Da muss mehr getan werden. Der Privatuser muss vor allem auf Hirn 2.0 setzen, Firmen können sich noch weitere Intelligenz zwischen Firmennetz und das Internet setzen, und können auch im internen Netz noch eine ganze Reihe Schutzebenen einbauen. Es muss nur gemacht werden.
Kann man alle Programme testen? Geht wohl nicht. In Zeitschriften werden auch nur die Gängigsten 10 getestet, und nicht alle.
Also echt… der Test ist recht alt, und der Quelltext sagt:
„RACK911 Labs began notifying vendors in the fall of 2018 and to this date we have reported security vulnerabilities across all major platforms affecting every well-known antivirus vendor. Given how many vendors were vulnerable, it’s our belief that there are even more lesser-known products out there susceptible to these sorts of attacks.
Most of the antivirus vendors have fixed their products with a few unfortunate exceptions.“
Auf Deutsch:
„Rack911 Labore haben im Herbst 2018 begonnen, die Hersteller zu informieren und bis heute haben wir Sicherheitslücken gemeldet, die über alle großen Plattformen hinweg jeden bekannten Antivirus-Hersteller betreffen. Vor dem Hintergrund, wie viele Hersteller angreifbar waren, glauben wir, dass es noch weit mehr weniger bekannte Produkte gibt, die für diese Angriffe anfällig sind.
Bis auf einige wenige unglückliche Ausnahmen haben die Hersteller ihre Produkte aktualisiert.“
Der letzte Satz ist bedeutsam. Die Lücke ist also wohl bei den bekannten Namen geschlossen.
Im weiteren Text wird n.m.M. deutlich, dass man auf die wenigen Ausnahmen zielt, die bisher eben nicht reagiert hat.
Zum Umfang der getesteten Produkte sagt der Text wenig aus, sondern es werden nur die (damals) anfälligen Produkte aufgezählt. Wie viele und welche Produkte getestet und nicht anfällig waren, lässt sich daraus nicht ermitteln.
Danke für die Ergänzung.
das wird alles ein bisschen sehr heiß gekocht…
voraussetzung für dieses exploit ist doch, dass aktiv ein skript ausgeführt werden muss, welches symlinks bzw. junctions erstellt.
na toll! da kann ich jedem sagen, ein skript, notabene vom standarduser ausgeführt, welches die befehle „rm -rf / –no-preserve-root“ (linux) oder „DEL /F/Q/S *. * > NUL“ (windows)
absetzt wird ungeachtet der nutzerprivilegien zumindest alle vom nutzer erstellen und womöglich wichtigen arbeitsdateien/dokumente entfernen…
ein windows/linux installationsmedium für eine neuinstallation ist in praktisch „unendlicher“ anzahl vorhanden … für privat erstellte dateien gibt es im schlimmsten fall nicht ein einziges backup.
wer ein skript ausführt, muss wissen was er tut…
das ganze ist genauso ein exploit, wie es ein exploit ist mit dem vorschlaghammer auf den rechner einzuhauen..
grüße
Den SEO-Link habe ich gelöscht.
Hallo Günter,
McAfee hat gerade ein HotFix für alle seine Enterprise Produkte veröffentlicht:
https://kc.mcafee.com/corporate/index?page=content&id=SB10316