![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Sicherheitsforscher haben eine Methode entdeckt, mit dem sich ein Virenscanner \u00fcber SMB-Freigabe austricksen l\u00e4sst und Schadsoftware nicht erkennt. Hier einige Informationen zur Illusion GAP getauften Sicherheitsl\u00fccke.<\/p>\nSicherheitsforscher haben eine Methode entdeckt, mit dem sich ein Virenscanner \u00fcber SMB-Freigabe austricksen l\u00e4sst und Schadsoftware nicht erkennt. Hier einige Informationen zur Illusion GAP getauften Sicherheitsl\u00fccke.<\/p>\n
<\/p>\n
Der Angriff ist von Sicherheitsforschern der Firma CyberArk Labs hier<\/a> dokumentiert worden. Zum Angreifen haben die Forscher zwei exe-Dateien in einer SMB-Freigabe auf einem speziell pr\u00e4parierten SMB-Server abgelegt. Eine Datei ist sauber, die zweite mit Malware verseucht.<\/p>\n Dann versucht man \u00fcber Social Engineering das Opfer dazu zu bringen, die Datei mit der Schadsoftware auf der SMB-Freigabe auszuf\u00fchren. Standardm\u00e4\u00dfig wird der Windows Defender (mit diesem haben die Forscher getestet) \u00fcber seinen Filtertreiber die zum \u00d6ffnen ausgew\u00e4hlte Datei auf Malware zu scannen. Ein Spezifika sorgt aber daf\u00fcr, dass dazu nicht die Datei, die anschlie\u00dfend vom PE-Loader zu \u00f6ffnen ist, sondern eine Kopie der Datei zum Scannen angefordert wird.<\/p>\n Hier tricksen die Sicherheitsforscher den Windows Defender aus. Bei Anforderung der zu \u00fcberpr\u00fcfenden Datei wird dem Windows Defender die saubere Kopie per SMB-Protokoll zugespielt. Laut Blog-Beitrag kann man den Defender sogar \u00fcberreden, die Datei gar nicht erst zu scannen. Sobald der PE-Loader dann die ausf\u00fchrbare Programmdatei anfordert, bekommt dieser die infizierte Variante. Die Illusion-Gap-L\u00fccke hat dann dazu gef\u00fchrt, dass die Windows-Sicherheitsmechanismen ausgetrickst wurden.<\/p>\n Die Forscher schreiben, dass sich m\u00f6glicherweise auch andere Virenscanner von Drittherstellern austricksen lassen. Microsoft sieht in diesem Ansatz aber keine Sicherheitsl\u00fccke und will (\u00e4hnlich wie beim Thema Verhindert Windows-Kernel-Bug Malware-Erkennung?<\/a>) nicht patchen. Fairerweise muss man zugestehen, dass es schon etwas Vorbereitung bedarf, um das Szenarios auszunutzen. So muss der pr\u00e4parierte SMB-Server im Netzwerk laufen, was in der Praxis eher nicht der Fall sein d\u00fcrfte. Und wer Zugriff auf Server hat, kann m\u00f6glicherweise weitere Angriffswege verwenden. Imho w\u00e4re es aber gut, wenn Microsoft den oben skizzierten Ansatz schlie\u00dft.<\/p>\n Weitere Details lassen sich im Blog-Beitrag<\/a> der Entdecker nachlesen. Bleeping Computer hat das Thema hier zusammen gefasst und bei heise.de gibt es diesen deutschsprachigen Excerpt<\/a>.<\/p>\n \u00c4hnliche Artikel:<\/strong> Sicherheitsforscher haben eine Methode entdeckt, mit dem sich ein Virenscanner \u00fcber SMB-Freigabe austricksen l\u00e4sst und Schadsoftware nicht erkennt. Hier einige Informationen zur Illusion GAP getauften Sicherheitsl\u00fccke.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,3694],"tags":[4328,4313,2400],"class_list":["post-194684","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows-10","tag-sicherheit","tag-virenschutz","tag-windows-defender"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/194684","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=194684"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/194684\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=194684"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=194684"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=194684"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Die \u00dcberlegung: Man w\u00e4hlt eine Datei per Doppelklick aus, um diese zu \u00f6ffnen bzw. auszuf\u00fchren. Der Virenscanner springt an, scannt aber die falsche Datei. Ein m\u00f6gliches Szenario hatte ich Anfang September bereits im Blog-Beitrag Verhindert Windows-Kernel-Bug Malware-Erkennung?<\/a> beschrieben. Jetzt gibt es eine weitere Methode, die sich SMB-Freigaben bedient.<\/p>\n
![\"Illusion](\"https:\/\/www.cyberark.com\/wp-content\/uploads\/2017\/09\/image-4-2.jpg\" "\\"Illusion")
\n(Quelle: CyberArk Labs)<\/p>\n
\nWindows: GhostHack umgeht PatchGuard Protection<\/a>
\nVerhindert Windows-Kernel-Bug Malware-Erkennung?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"