{"id":230919,"date":"2020-04-21T01:07:05","date_gmt":"2020-04-20T23:07:05","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=230919"},"modified":"2020-04-21T11:49:20","modified_gmt":"2020-04-21T09:49:20","slug":"ansatz-um-fast-jedes-antivirus-programm-auszuhebeln","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/04\/21\/ansatz-um-fast-jedes-antivirus-programm-auszuhebeln\/","title":{"rendered":"Ansatz, um fast jedes Antivirus-Programm auszuhebeln"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/04\/21\/ansatz-um-fast-jedes-antivirus-programm-auszuhebeln\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Sicherheitsforscher von Rack911 Labs beschreiben eine Technik, mit der sich fast jede Antivirus-Software unter Windows oder macOS aushebeln und deaktivieren l\u00e4sst &#8211; zumindest, solange der Hersteller keine Schutzmechanismen dagegen implementiert.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/8f793710b0604ae3ac1b54ab7148d5f8\" alt=\"\" width=\"1\" height=\"1\" \/>Antiviren-Software soll eigentlich vor b\u00f6sartigen Bedrohungen sch\u00fctzen. Aber was w\u00e4re, wenn dieser Schutz heimlich deaktiviert werden k\u00f6nnte, bevor eine Bedrohung \u00fcberhaupt durch die AV-Software neutralisiert werden kann? Was w\u00e4re, wenn dieser Schutz manipuliert werden k\u00f6nnte, um bestimmte Dateioperationen durchzuf\u00fchren, die es erm\u00f6glichen w\u00fcrden, das Betriebssystem zu kompromittieren oder einfach durch einen Angreifer unbrauchbar zu machen?<\/p>\n<p>Ich gesteht, so ganz spontan ging mir mein Artikel <a href=\"https:\/\/borncity.com\/blog\/2020\/04\/17\/scep-mse-defender-weltweiter-ausfall-von-microsofts-virenschutz-durch-signatur-1-313-1638-0-16-4-2020\/\">SCEP\/MSE\/Defender: Weltweiter Ausfall von Microsofts Virenschutz durch Signatur 1.313.1638.0 (16.4.2020)<\/a> durch den Kopf, als ich vor einigen Stunden \u00fcber nachfolgenden Tweet stolperte.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Exploiting (Almost) Every Antivirus Software \u2013 RACK911 Labs <a href=\"https:\/\/t.co\/N84DjNTjED\">https:\/\/t.co\/N84DjNTjED<\/a><\/p>\n<p>\u2014 F. Javier Santiago (@n0ipr0cs) <a href=\"https:\/\/twitter.com\/n0ipr0cs\/status\/1252284605467590657?ref_src=twsrc%5Etfw\">April 20, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Sicherheitsforscher von RACK911 Labs beschreiben in diesem Artikel Techniken, mit denen sich fast jede Antivirus-Software unter Windows oder macOS aushebeln und deaktivieren l\u00e4sst (bzw. lie\u00df, einige Anbieter haben was nachgebessert &#8211; aber im Zweifelsfall m\u00fcsste man den Test wiederholen).<\/p>\n<p>Der Ansatz:\u00a0Wird eine unbekannte Datei auf der Festplatte gespeichert, f\u00fchrt die Antiviren-Software in der Regel entweder sofort oder innerhalb weniger Minuten einen \"Echtzeit-Scan\" durch. Stellt die unbekannte Datei eine vermutete Bedrohung dar, wird sie automatisch in Quarant\u00e4ne gestellt und an einen sicheren Ort verschoben oder sie wird einfach gel\u00f6scht.<\/p>\n<p>Der Virenscanner l\u00e4uft dabei mit h\u00f6chsten Privilegien, um die Pr\u00fcfung auszuf\u00fchren. Die er\u00f6ffnet die M\u00f6glichkeit, eine Vielzahl von Sicherheitsl\u00fccken anzugreifen und verschiedene Race Conditions auszunutzen.<\/p>\n<p>Was die meisten Antivirenprogramme nicht ber\u00fccksichtig(t)en, ist das kleine Zeitfenster zwischen dem ersten Datei-Scan, bei dem die b\u00f6sartige Datei erkannt wird, und der Bereinigungsoperation, die unmittelbar danach stattfindet. Ein b\u00f6swilliger lokaler Benutzer oder Malware-Autor ist dadurch ggf. in der Lage, eine Race Condition \u00fcber eine Verzeichnis-Junktion (Windows) oder einen Symlink (Linux &amp; MacOS) auszuf\u00fchren. Dieser kann die privilegierten Dateioperationen auszunutzen zu versuchen, um die Antiviren-Software zu deaktivieren oder in das Betriebssystem einzugreifen, um es unbrauchbar zu machen usw.<\/p>\n<p>Bei Tests unter Windows, MacOS und Linux konnten die Sicherheitsforscher wichtige Dateien, die von der Antiviren-Software gebraucht wird, unwirksam machen und , problemlos l\u00f6schen. Es konnten sogar wichtige Betriebssystemdateien gel\u00f6scht werden.Unter Windows lassen sich zwar nur Dateien l\u00f6schen, die nicht in Gebrauch sind. Aber einige Antiviren-Software kann solche Dateien beim n\u00e4chsten Neustart des Systems entfernen.<\/p>\n<p>Die Sicherheitsforscher legen in <a href=\"https:\/\/www.rack911labs.com\/research\/exploiting-almost-every-antivirus-software\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> ein Proof of Concept offen, dass diesen Ansatz zeigt. In einem Video wird der Angriff demonstriert. Kann man bei Interesse an jedem aktuellen AV-Produkt probieren, um zu sehen, ob das diesbez\u00fcgliche Schwachstellen aufweist. Unter Windows haben die Sicherheitsforscher im Laufe der Zeit folgende Produkte getestet:<\/p>\n<p>Avast Free Anti-Virus<br \/>\nAvira Free Anti-Virus<br \/>\nBitDefender GravityZone<br \/>\nComodo Endpoint Security<br \/>\nF-Secure Computer Protection<br \/>\nFireEye Endpoint Security<br \/>\nIntercept X (Sophos)<br \/>\nKaspersky Endpoint Security<br \/>\nMalwarebytes for Windows<br \/>\nMcAfee Endpoint Security<br \/>\nPanda Dome<br \/>\nWebroot Secure Anywhere<\/p>\n<p>und konnten diese in den beim Test verf\u00fcgbaren Versionen erfolgreich deaktivieren. Da ist quasi alles dabei, was so in deutschen Stuben auf den Windows-PCs tobt. Die AV-Herstelleer wurden jeweils \u00fcber diese Erkenntnisse informiert.<\/p>\n<p>Erg\u00e4nzung: Wegen der schon losgebrochenen Diskussion. Beachtet bitte, dass das kein Test 'dieser Scanner ist gut, der ist schlecht' ist. Der Artikel der Sicherheitsforscher ist eine Momentaufnahme. Wie in einem Kommentar erw\u00e4hnt wird, l\u00e4uft das Ganze seit 2018 und die Anbieter haben jeweils einen individuellen Bericht \u00fcber Schwachstellen bekommen. Manche AV-Anbieter haben nachgebessert. Nach 6 Monaten Karenzzeit haben die Sicherheitsforscher beschlossen, die Erkenntnisse offen zu legen. Der Fall zeigt mir aber, dass man nicht genug aufpassen kann (und es w\u00e4re nicht der erste Fix, der neue Schwachstellen aufrei\u00dft). Wir hatten hier in den Kommentaren ja schon die Diskussion um Microsofts Tamper Protection (Manipulationsschutz), wo Kanthak seine Meinung zu bestimmten Ma\u00dfnahmen kund tat.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforscher von Rack911 Labs beschreiben eine Technik, mit der sich fast jede Antivirus-Software unter Windows oder macOS aushebeln und deaktivieren l\u00e4sst &#8211; zumindest, solange der Hersteller keine Schutzmechanismen dagegen implementiert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[4328,4313],"class_list":["post-230919","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-sicherheit","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230919","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=230919"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230919\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=230919"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=230919"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=230919"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}