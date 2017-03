Lücke erlaubt Kapern von Antiviren-Software

Security-Experten von Cybellum haben offenbar eine Angriffstechnik entdeckt, die es unter Windows erlaubt, Antiviren-Software zu übernehmen und in deren Kontext Schadcode auszuführen. Hierzu missbrauchten sie eine eigentlich legitime Funktion in Windows und schleusten eine schadhafte DLL in den laufenden AV-Prozess ein. Einen im Betriebssystem vorhandenen Schutz dagegen lassen außer Microsoft alle Antiviren-Hersteller links liegen.

In Programme lassen sich schadhafte DLLs injizieren, was besonders bei Antiviren-Software gefährlich wird.

Angreifern ist es unter Windows anscheinend möglich, Antiviren-Programme über einen Trick zu übernehmen und für ihre Zwecke zu verwenden. Wie Bleepingcomputer berichtet [1], lässt sich über die Funktion "Microsoft Application Verifier" eine schadhafte DLL in den Prozess einschleusen, die diesen daraufhin kapert. Eigentlich ist Application Verifier für Entwickler gedacht, um ihren Code nach Fehlern zu durchsuchen. Hierzu injiziert das Tool eine DLL in die Anwendung des Entwicklers.



Den Security-Forschern von Cybellum [2] ist es jedoch gelungen, eine eigene DLL stattdessen einzuschleusen und so ihren Schadcode im Kontext der übernommenen Applikation auszuführen. Das betrifft prinzipiell alle Anwendungen, doch genießen Antiviren-Programme in der Regel weitreichende Befugnisse im System, die sich nun durch die Angreifer ausnutzen lassen. Dem Artikel zufolge hätten bislang lediglich Malwarebytes und AVG ihre Produkte gegen den Angriff gepatcht. Bei Trend Micro soll das entsprechende Update demnächst verfügbar sein.



Windows selbst bietet derweil einen integrierten Schutz vor genau solchen Angriffen namens "Protected Processes", die speziell Antiviren-Programme absichern soll. Sie verhindert, dass andere Applikationen nicht signierten Code in die Antimalware-Prozesse einschleust. Allerdings macht Windows Defender als einziges Programm Gebrauch von dieser Funktion.