{"id":196257,"date":"2017-11-13T00:16:00","date_gmt":"2017-11-12T23:16:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=196257"},"modified":"2024-08-12T13:05:07","modified_gmt":"2024-08-12T11:05:07","slug":"designfehler-in-antivirus-produkten-bedroht-sicherheit","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/11\/13\/designfehler-in-antivirus-produkten-bedroht-sicherheit\/","title":{"rendered":"Designfehler in Antivirus-Produkten bedroht Sicherheit"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"http:\/\/borncity.com\/win\/2017\/11\/13\/avgater-design-flaw-in-anti-virus-products-set-users-at-risk\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Ein Designfehler in verschiedenen Antivirus-Produkten erm\u00f6glicht Malware oder lokalen Angreifern den Missbrauch der Funktion \"Restore von Quarant\u00e4ne\". Bereits gefundene Malware kann so in sensitive Bereiche des Betriebssystems verschoben werden, um Neustarts zu \u00fcberstehen und erh\u00f6hte Privilegien zu erlangen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/2ffa81ff9bda450fbdc24fc1128d4ad3\" alt=\"\" width=\"1\" height=\"1\" \/>Florian Bogner, ein Sicherheitsauditor des \u00f6sterreichischen Cybersicherheitskonzerns Kapsch, entdeckte den Fehler, den er unter dem Codenamen AVGater verfolgt. Bogner hat wohl die betroffenen Firmen informiert, wobei diese ihre Sicherheitsl\u00f6sungen teilweise aktualisiert haben. Die Erkenntnisse hat Bogner in <a href=\"https:\/\/bogner.sh\/2017\/11\/avgater-getting-local-admin-by-abusing-the-anti-virus-quarantine\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Blog-Beitrag<\/a> ver\u00f6ffentlicht.<\/p>\n<h2>Die Grundlagen<\/h2>\n<p>Die folgende Abbildung zeigt das Innenleben eines typischen AV-Produkts aus Sicht eines unprivilegierten Benutzers. Es gibt drei verschiedene Zugriffsdom\u00e4nen: Der Kernel-Modus, der privilegierte Benutzermodus (SYSTEM) und der unprivilegierte Benutzermodus. Wie das folgende Bild zeigt, haben die verschiedenen Komponenten sehr unterschiedliche Aufgaben:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"AV-Module und Privilegien\" src=\"https:\/\/bogner.sh\/wp-content\/uploads\/2017\/10\/Screen-Shot-2017-10-25-at-10.33.47.png\" alt=\"AV-Module und Privilegien\" width=\"618\" height=\"316\" \/><br \/>\n(Quelle: Bogner)<\/p>\n<p>Im Kontext des unprivilegierten Benutzers gibt es nur die AV-Benutzeroberfl\u00e4che. Sie allein hat keine wirkliche Macht, weil sie innerhalb einer begrenzten Benutzersitzung ausgef\u00fchrt wird. Durch Kommunikation mit dem Windows Dienst des AV-Programms kann die Benutzeroberfl\u00e4che jedoch viele Dinge tun, die einem normalen Benutzer von den Berechtigungen her verwehrt sind. Zum Beispiel kann es erlaubt sein, Dateien aus der Virus-Quarant\u00e4ne wiederherzustellen.<\/p>\n<p>Und dann gibt es zus\u00e4tzlich eine Kernel-Komponente, die die eigentliche Arbeit, Objekte auf bekannte Bedrohungsidentifikatoren zu \u00fcberpr\u00fcfen, erledigt und damit alle Berechtigungen ben\u00f6tigt.<\/p>\n<h2>AVGator nutzt das geschickt aus<\/h2>\n<p>Die spannende Frage ist, ist ein Angriffsszenario denkbar, welches die Restaurierung von Dateien in Quarant\u00e4ne ausgenutzt werden, um erkannte Malware ins System einzuschleusen \u2013 und dies, obwohl der Benutzer keine Privilegien besitzt? Bogner hat dazu folgende Video ver\u00f6ffentlicht.<\/p>\n<p>(Quelle: <a href=\"https:\/\/youtu.be\/U_hqWVicA64\" target=\"_blank\" rel=\"noopener\">YouTube<\/a>)<\/p>\n<p>Wie im obigen Video zu sehen ist, kann der #AVGater verwendet werden, um eine zuvor in Quarant\u00e4ne befindliche Datei an einem beliebigen Speicherort des Dateisystems wiederherzustellen. Dies ist m\u00f6glich, weil der Restore-Prozess meist durch den privilegierten AV Windows-Benutzermodusdienst ausgef\u00fchrt wird.<\/p>\n<p>Auf diese Weise k\u00f6nnen Dateisystem-ACLs umgangen werden (da sie f\u00fcr den SYSTEM-Benutzer nicht wirklich z\u00e4hlen). Diese Art von Problemen wird als privilegierte Datei-Schreibschwachstelle bezeichnet und kann verwendet werden, um eine b\u00f6sartige DLL \u00fcberall auf dem System zu platzieren. Das Ziel ist es, diese Bibliothek f\u00fcr einen legitimen Windows-Server durch Missbrauch der <a href=\"https:\/\/msdn.microsoft.com\/en-us\/library\/windows\/desktop\/ms682586%28v=vs.85%29.aspx?f=255&amp;MSPPError=-2147217396\" target=\"_blank\" rel=\"noopener noreferrer\">DLL-Search-Order<\/a> zu laden. Klappt dies, kann die DLL mittels des <a href=\"https:\/\/msdn.microsoft.com\/en-us\/library\/windows\/desktop\/ms682583%28v=vs.85%29.aspx?f=255&amp;MSPPError=-2147217396\" target=\"_blank\" rel=\"noopener noreferrer\">DLLMain entry point<\/a> geladen und ausgef\u00fchrt werden.<\/p>\n<p>Aber eine sehr wichtige Frage bleibt noch offen: Wie kann man den Restore-Prozess manipulieren? Die L\u00f6sung sind NTFS-Verzeichnis-Junktions. Dies sind im Grunde symbolische Links f\u00fcr Verzeichnisse, die von jedermann mit Hilfe von <em>mklink<\/em> erstellt werden k\u00f6nnen. Durch den Missbrauch der NTFS-Verzeichnis-Junktions kann der Prozess der AV-Quarant\u00e4ne-Wiederherstellung manipuliert werden. Damit lassen sich zuvor unter Quarant\u00e4ne befindliche Dateien in beliebige Dateisystem-Speicherorte schreiben. Mit diesem Wissen l\u00e4sst sich ein komplettes Angriffsszenario konstruieren.<\/p>\n<ul>\n<li>Zuerst wird eine b\u00f6sartige Bibliothek (DLL mit Malware) in die AV-Quarant\u00e4ne verschoben. Dann wird der urspr\u00fcngliche Quellpfad durch den Missbrauch von NTFS-Verzeichnis-Junktions an ein anderes Ziel weitergeleitet (h\u00f6chstwahrscheinlich ein Ordner in <em>C:\\Program Files <\/em>oder <em>C:\\Windows<\/em>).<\/li>\n<li>Durch das Wiederherstellen der zuvor isolierten Datei werden die SYSTEM-Berechtigungen des Windows-Benutzermodusdienstes missbraucht, und die sch\u00e4dliche Bibliothek wird in einem Ordner abgelegt, in den der aktuell angemeldete Benutzer unter normalen Bedingungen nicht schreiben kann.<\/li>\n<li>Da die DLL-Suchreihenfolge funktioniert, wird sie schlie\u00dflich von einem anderen privilegierten Windows-Prozess geladen. Dabei wird der Code innerhalb der DLLMain der Schadbibliothek ausgef\u00fchrt.<\/li>\n<\/ul>\n<p>Ein lokaler Nicht-Administrator erlangte somit die volle Kontrolle \u00fcber den betroffenen Endpunkt. Bogner hat das Ganze in folgendem Bild zusammen gefasst.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"#AVGater Infektionsweg \" src=\"https:\/\/bogner.sh\/wp-content\/uploads\/2017\/11\/Screen-Shot-2017-11-05-at-15.41.49.png\" alt=\"#AVGater Infektionsweg \" width=\"609\" height=\"313\" \/><br \/>\n(Quelle: Bogner)<\/p>\n<p>Die AV-Anbieter Trend Micro, Kaspersky, Malwarebytes, EMSISoft, ZoneAlarm und IKARUS haben Updates zum Beheben des Problems herausgebracht. Weitere Details lassen sich im englischsprachigen <a href=\"https:\/\/bogner.sh\/2017\/11\/avgater-getting-local-admin-by-abusing-the-anti-virus-quarantine\/\" target=\"_blank\" rel=\"noopener noreferrer\">Original-Beitrag nachlesen<\/a>. (via Bleeping Computer)<\/p>\n<p><strong>Nachtrag:<\/strong> Weil es in den Kommentaren schon angesprochen wurde &#8211; der Windows Defender hat ein abweichendes Design, so dass Nutzer nicht gef\u00e4hrdet waren (andernfalls h\u00e4tte ich was dazu geschrieben). Microsoft hat hier aber bereits einen l\u00e4ngeren Artikel publiziert, warum der Defender nicht gef\u00e4hrdet war (Martin Geu\u00df hat es heute <a href=\"https:\/\/www.drwindows.de\/news\/microsoft-windows-defender-war-nie-anfaellig-fuer-avgater\" target=\"_blank\" rel=\"noopener noreferrer\">hier <\/a>thematisiert).<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ein Designfehler in verschiedenen Antivirus-Produkten erm\u00f6glicht Malware oder lokalen Angreifern den Missbrauch der Funktion \"Restore von Quarant\u00e4ne\". Bereits gefundene Malware kann so in sensitive Bereiche des Betriebssystems verschoben werden, um Neustarts zu \u00fcberstehen und erh\u00f6hte Privilegien zu erlangen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[24,4328,4313],"class_list":["post-196257","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-problem","tag-sicherheit","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196257","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=196257"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196257\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=196257"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=196257"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=196257"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}