Schwachstelle offengelegt, mit der sich mit den meisten Antivirenprogrammen beliebige Dateien entfernen lassen
(rack911labs.com)Es wurde eine Schwachstelle veröffentlicht, mit der sich durch die umgekehrte Ausnutzung des Mechanismus, mit dem Antivirenprogramme schädliche Dateien in Quarantäne verschieben, beliebige Dateien entfernen lassen. (Englisch) Diese Schwachstelle wurde im Herbst 2018 von der Sicherheitsabteilung des Hosting-Anbieters RACK911 entdeckt; inzwischen sollen die wichtigsten Antivirenhersteller sie gepatcht haben.
Die Schwachstelle basiert im Wesentlichen darauf, dass die Echtzeitüberwachung von Antivirenprogrammen nach dem Erkennen einer schädlichen Datei eine kurze Verzögerung hat, bis die Datei tatsächlich in Quarantäne verschoben wird, und dass sich Verknüpfungsfunktionen für Dateien/Verzeichnisse im Dateisystem ausnutzen lassen (Symbolic link unter Linux oder macOS, Directory Junction unter Windows). Vereinfacht gesagt bereitet man absichtlich eine Datei vor, die von der Echtzeitüberwachung des Antivirenprogramms erkannt wird (zum Beispiel die EICAR-Testdatei). Sobald das Antivirenprogramm sie erkennt, ersetzt man sie unauffällig, bevor sie in Quarantäne verschoben wird, durch einen symbolischen Link auf die Datei, die man eigentlich entfernen möchte. Das Antivirenprogramm verschiebt dann eine völlig normale Datei in die Quarantäne. Handelt es sich bei dieser Datei um eine wichtige Systemdatei des Betriebssystems, kann dies zu einem Denial-of-Service-Angriff auf das System führen; ist es eine für den Betrieb des Antivirenprogramms notwendige Datei, wird damit das Sicherheitssystem lahmgelegt. Bei dieser Technik ist das Timing zwar wichtig, sie ließ sich aber offenbar schon durch einfache Wiederholungen per Batch-Datei mit ausreichender Erfolgsquote umsetzen.
Windows-Demovideo:
https://www.youtube.com/watch?v=MblUiyazdAc
macOS-Demovideo:
Noch keine Kommentare.