{"id":275838,"date":"2022-12-12T08:34:19","date_gmt":"2022-12-12T07:34:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=275838"},"modified":"2023-08-16T17:13:28","modified_gmt":"2023-08-16T15:13:28","slug":"poc-avast-avg-und-microsoft-defender-als-kill-tool-zum-lschen-von-dateien-missbraucht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/12\/12\/poc-avast-avg-und-microsoft-defender-als-kill-tool-zum-lschen-von-dateien-missbraucht\/","title":{"rendered":"PoC: Avast, AVG und Microsoft Defender von "Wiper-Tool" zum Löschen von Dateien missbraucht"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der Einsatz von Sicherheitstools wie Virenscanner soll Systeme vor Bedrohungen sch\u00fctzen. Aber Fehlfunktionen oder Schwachstellen k\u00f6nnen ungewollt L\u00fccken aufrei\u00dfen und Systeme einem besonderen Risiko aussetzen. Ein Sicherheitsforscher hat k\u00fcrzlich in einem Proof-of-Concept (POC) gezeigt, dass Anti-Malware-L\u00f6sungen dazu gebracht werden k\u00f6nnen, gezielt Dateien auf einem System zu l\u00f6schen. Der Forscher hat diesen Ansatz \"Aikido\" genannt – abgeleitet von der japanischen Kampfkunst, die den Angriff eines Gegners gegen diesen selbst anwendet.<\/p>\n

<\/p>\n

\"\"Es wird ja immer diskutiert, ob man Fremdvirenscanner zum Schutz seiner (Windows) Systeme einsetzen soll. Viel Virenscanner, viel Schutz, wird manchmal suggeriert. Hier im Blog hatte ich aber mehrfach darauf hingewiesen, dass Fehlfunktionen und Schwachstellen in solchen Produkten Risiken darstellen und Sch\u00e4den verursachen k\u00f6nnen. Or Yair, Sicherheitsforscher von SafeBreach wollte es genauer wissen und hat sich verschiedene Endpoint Detection and Response (EDR) und Antivirus (AV) L\u00f6sungen angesehen.<\/p>\n

Dabei stie\u00df er (wie erwartet) auf verschiedene Schwachstellen in diesen Produkten. Vor allen Dingen hatten es ihm sogenannte Wiper angetan, also Software, die Dateien von den Zielsystemen l\u00f6scht. Sicherheitsl\u00f6sungen wie Antivirus-Software laufen ja mit h\u00f6chsten Systemrechten, besitzen also vollen Zugriff auf alle Dateien des Systems. Mittels dieser Schwachstellen konnte er einen mit normalen Nutzerprivilegien laufenden Wiper dazu bringen, die mit Systemprivilegien laufenden Sicherheitsl\u00f6sungen zu veranlassen, harmlose Dateien auf den Zielsystemen zu l\u00f6schen. Dies umfasste auch Systemdateien, so dass die Systeme nicht mehr bootbar waren.<\/p>\n

Der Sicherheitsforscher hat dabei elf Sicherheitsprodukte verschiedener Hersteller untersucht und in 50 % der Produkte Schwachstellen gefunden. Angreifbar waren der Microsoft Defender, Sentinel One EDR, Trend Micro Aprex One, Avast Antivius und AVG Antivirus. Alle genannten Produkte sind h\u00e4ufig unter Windows im Einsatz. Beim Microsoft Defender und Defender for Endpoint lie\u00dfen sich zwar keine Einzeldateien l\u00f6schen, aber es konnten komplette Verzeichnisse vom Wiper entfernt werden.<\/p>\n

Der Sicherheitsforscher hat\u00a0 diese Schwachstellen zwischen Juli und August 2022 an die betroffenen Hersteller gemeldet. Es gab in den folgenden vier Monaten eine enge Kooperation mit den Herstellern, um nachfolgende Schwachstellen vor der Ver\u00f6ffentlichung des PoC zu schlie\u00dfen.<\/p>\n