DoubleAgent hebelt Virenscanner über den Microsoft Application Verifier aus

Im März 2017 ist eine neue Angriffsmethode mit dem Namen DoubleAgent bekannt geworden. Mit dieser Methode können Angreifer den in Windows enthaltenen Microsoft Application Verifier missbrauchen, um Virenscanner auszuhebeln.


Anzeige

Die Information ist bereits seit einiger Zeit offen gelegt. Sicherheitsforscher von Cybellum sind auf diesen Hack gekommen. In allen Windows-Versionen wir das Tool Microsoft Application Verifier mitgeliefert.

Anwendungsentwickler können das Tool verwenden, um den Code auf Laufzeitfehler zu überprüfen. Dazu lässt sich eine mitgelieferte DLL innerhalb der zu überprüfenden Anwendung laden. Die Forscher von Cybellum haben nun entdeckt, dass man auch einen eigene 'verifier DLL' anstelle der vom Microsoft Application Verifier bereitgestellten DLL laden kann.

Durch einen neu angelegten Windows Registrierungsschlüssel können Angreifer den Namen der zu übernehmenden Anwendung festlegen und den Namen der eigenen DLL angeben. Diese lässt sich dann zur Übernahme der betreffenden Anwendung einsetzen. Das gilt selbst dann, wenn Hersteller von Antivirus-Programmen die eigenen Registrierungseinträge vor der Manipulation durch Fremdtasks schützen.


(Quelle: Cybellum/Bleeping Computer)


Anzeige

Die Forscher bei Cybellum haben einen Proof-of-Concept Angriff konzipiert, mit dem dieser Schutz ausgehebelt werden kann. Dazu braucht nur der Registrierungs-Pfad leicht modifiziert zu werden. Obiges Bild zeigt einen modifizierten Norton Security-Dialog nach einem Angriff. Aktuell ist eine ganze Reihe von Antivirus-Anbietern durch diese Schwachstelle betroffen:

Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton

Einige Hersteller wie Malwarebytes Version 3.0.6 Component Update 3, AVG Version 16.151.8007 und Trend-Micro bieten zeitnah einen Patch an. Die restlichen Hersteller dürften nachziehen. Ein DoubleAgent-Angriff ermöglicht folgende Szenarien:

  • Sicherheitslösungen zu deaktivieren und blind für Malware-Angriffe zu schalten 
  • Sicherheitsprodukte als Proxy für Angriffe auf lokale Computernetzwerke einzusetzen
  • Schadcode mit den höchsten Systemrechten zur Ausführung zu versehen
  • Sicherheitsprodukte zu verwenden, um Datentransfers durch Malware zu verschleiern oder Daten zu filtern

Damit kann ein System jederzeit beschädigt oder kompromittiert werden. Und die infiltrierten Systeme lassen sich für DDoS-Angriffe missbrauchen. Ein äußerst unschönes Szenario. Weitere Details finden sich bei Bleeping Computer.


Anzeige

Dieser Beitrag wurde unter Virenschutz, Windows abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu DoubleAgent hebelt Virenscanner über den Microsoft Application Verifier aus

  1. Dekre sagt:

    Ich denke, dass sich das mit den aushebeln schon wieder mit Zeitablauf erledigt hat. Die Version Malwarebytes V 3.0.6 CU3 habe ich mir am 23.02.2017 heruntergeladen und installiert. In der Zischenzeit gab es weitere Updates. Die neueste Version Malwarebytes V 3.0.6 CU4 erschien am 29.03.2017.
    Für die anderen sicherlich auch.
    Die Nachricht wurde bei Bleeping Computer am 21.03.2017 veröffentlicht. Wenn dort geschrieben steht, dass während des Schreibens das Malwarebytes mit V 3.0.6. CU3 gepacht hat, ich diese Version mit einen Monat vorher heruntergeladen und installiert habe, so kann da was bei Bleeping nicht stimmen.

  2. Andreas B. sagt:

    Für ESET NOD32 gab es bei mir am 25. März ein Versionsupdate (auf Version 10.0.390.0) mit Reboot-Erfordernis und anschließendem automatischem Systemscan (wie bei Neuinstallation). Das dürfte wohl der Fix gewesen sein, aber Infos drüber (Changelog) hab ich leider noch nicht gefunden, müsste es wohl irgendwo geben. Kann sein, dass das Update schon früher rauskam (ist also nicht Release-Datum, sondern nur Ankunftszeit bei mir entsprechend meiner Nutzung des Rechners). – Außerdem hat ESET dieses Customer Advisory veröffentlicht: DoubleAgent code injection and process hijacking explained (2017-03-23, Severity: Low). Im ESET-Userforum wird die Sache hier besprochen. (Alles bei diesen Links auf englisch.)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.