{"id":188930,"date":"2017-04-08T01:37:00","date_gmt":"2017-04-07T23:37:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=188930"},"modified":"2017-04-05T11:06:49","modified_gmt":"2017-04-05T09:06:49","slug":"doubleagent-hebelt-virenscanner-ber-den-microsoft-application-verifier-aus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/04\/08\/doubleagent-hebelt-virenscanner-ber-den-microsoft-application-verifier-aus\/","title":{"rendered":"DoubleAgent hebelt Virenscanner &uuml;ber den Microsoft Application Verifier aus"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Im M\u00e4rz 2017 ist eine neue Angriffsmethode mit dem Namen DoubleAgent bekannt geworden. Mit dieser Methode k\u00f6nnen Angreifer den in Windows enthaltenen Microsoft Application Verifier missbrauchen, um Virenscanner auszuhebeln. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/f98ff7552ad4dac818a65737b52d50a\" width=\"1\" height=\"1\"\/>Die Information ist bereits seit einiger Zeit offen gelegt. Sicherheitsforscher von Cybellum sind auf diesen Hack gekommen. In allen Windows-Versionen wir das Tool Microsoft Application Verifier mitgeliefert. <\/p>\n<p>Anwendungsentwickler k\u00f6nnen das Tool verwenden, um den Code auf Laufzeitfehler zu \u00fcberpr\u00fcfen. Dazu l\u00e4sst sich eine mitgelieferte DLL innerhalb der zu \u00fcberpr\u00fcfenden Anwendung laden. Die Forscher von Cybellum haben nun entdeckt, dass man auch einen eigene 'verifier DLL' anstelle der vom Microsoft Application Verifier bereitgestellten DLL laden kann.<\/p>\n<p>Durch einen neu angelegten Windows Registrierungsschl\u00fcssel k\u00f6nnen Angreifer den Namen der zu \u00fcbernehmenden Anwendung festlegen und den Namen der eigenen DLL angeben. Diese l\u00e4sst sich dann zur \u00dcbernahme der betreffenden Anwendung einsetzen. Das gilt selbst dann, wenn Hersteller von Antivirus-Programmen die eigenen Registrierungseintr\u00e4ge vor der Manipulation durch Fremdtasks sch\u00fctzen. <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.bleepstatic.com\/content\/posts\/2017\/03\/21\/Norton-DoubleAgent.png\" width=\"597\" height=\"399\"\/><br \/>(Quelle: Cybellum\/Bleeping Computer)<\/p>\n<p>Die Forscher bei Cybellum haben einen Proof-of-Concept Angriff konzipiert, mit dem dieser Schutz ausgehebelt werden kann. Dazu braucht nur der Registrierungs-Pfad leicht modifiziert zu werden. Obiges Bild zeigt einen modifizierten Norton Security-Dialog nach einem Angriff. Aktuell ist eine ganze Reihe von Antivirus-Anbietern durch diese Schwachstelle betroffen:<\/p>\n<p>Avast (CVE-2017-5567)<br \/>AVG (CVE-2017-5566)<br \/>Avira (CVE-2017-6417)<br \/>Bitdefender (CVE-2017-6186)<br \/>Trend Micro (CVE-2017-5565)<br \/>Comodo<br \/>ESET<br \/>F-Secure<br \/>Kaspersky<br \/>Malwarebytes<br \/>McAfee<br \/>Panda<br \/>Quick Heal<br \/>Norton  <\/p>\n<p>Einige Hersteller wie Malwarebytes Version 3.0.6 Component Update 3, AVG Version 16.151.8007 und Trend-Micro bieten zeitnah einen Patch an. Die restlichen Hersteller d\u00fcrften nachziehen. Ein DoubleAgent-Angriff erm\u00f6glicht folgende Szenarien:  <\/p>\n<ul>\n<li>Sicherheitsl\u00f6sungen zu deaktivieren und blind f\u00fcr Malware-Angriffe zu schalten&nbsp; <\/li>\n<li>Sicherheitsprodukte als Proxy f\u00fcr Angriffe auf lokale Computernetzwerke einzusetzen  <\/li>\n<li>Schadcode mit den h\u00f6chsten Systemrechten zur Ausf\u00fchrung zu versehen  <\/li>\n<li>Sicherheitsprodukte zu verwenden, um Datentransfers durch Malware zu verschleiern oder Daten zu filtern<\/li>\n<\/ul>\n<p>Damit kann ein System jederzeit besch\u00e4digt oder kompromittiert werden. Und die infiltrierten Systeme lassen sich f\u00fcr DDoS-Angriffe missbrauchen. Ein \u00e4u\u00dferst unsch\u00f6nes Szenario. Weitere Details finden sich <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-attack-uses-microsofts-application-verifier-to-hijack-antivirus-software\/\" target=\"_blank\">bei Bleeping Computer<\/a>. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Im M\u00e4rz 2017 ist eine neue Angriffsmethode mit dem Namen DoubleAgent bekannt geworden. Mit dieser Methode k\u00f6nnen Angreifer den in Windows enthaltenen Microsoft Application Verifier missbrauchen, um Virenscanner auszuhebeln.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[161,301],"tags":[2564,6052,24,4313,4325],"class_list":["post-188930","post","type-post","status-publish","format-standard","hentry","category-virenschutz","category-windows","tag-hack","tag-microsoft-application-verifier","tag-problem","tag-virenschutz","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/188930","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=188930"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/188930\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=188930"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=188930"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=188930"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}