Forscher entdeckten zerstörerische Schwachstellen in 28 Antiviren-Programmen
Ab 2018 entdeckte, größtenteils gefixte Symlink-Schwachstellen in AV-Software für Windows, Linux und macOS erlaubten das Löschen von (System-)Dateien.
(Bild: Romolo Tavani/Shutterstock.com)
Ein Forscher-Team des Unternehmens Rack911 Labs, das gezielt nach so genannten Symlink-(Race-) Schwachstellen in Antiviren-Software suchte, ist seit 2018 in 28 Produkten für Windows, Linux und macOS fündig geworden. Über die lokal ausnutzbaren Schwachstellen konnten die Forscher die jeweilige AV-Software dazu bringen, statt vermeintlichem Schadcode etwa wichtige Systemdateien oder auch Komponenten der AV-Software selbst zu löschen.
In einem Blogeintrag mit dem Titel "Exploiting (Almost) Every Antivirus Software" hat das Team Proof-of-Concept-Code (und Videos) für Angriffe auf McAfee Endpoint Security (Windows) und Norton Internet Security (macOS und Linux) veröffentlicht. Die übrigen 27 Produkte, die der Blogeintrag auflistet, sollen mit ganz ähnlichem Code auf dieselbe Weise angreifbar gewesen sein. Darüber hinaus war wohl noch weitere Software derselben Hersteller betroffen – nämlich solche, die unter anderem Namen dieselben Techniken verwendet.
Schwachstellen bis auf wenige Ausnahmen beseitigt
Rack911 Labs hat die Hersteller nach eigenen Angaben ab Herbst 2018 mit individuellen Schwachstellen-Reports kontaktiert. Die meisten hätten die Sicherheitsprobleme seither (teils auch sehr zeitnah) behoben – mit "einigen unglücklichen Ausnahmen", die im Blogeintrag allerdings nicht konkret benannt werden.
(Bild: rack911labs.com)
AV-Software im (Selbst-)Zerstörungsmodus
Die Schwachstellen auszunutzen sei recht trivial gewesen. Die Basis hierfür bildeten unter Linux und macOS symbolische Verknüpfungen, auch Symlinks genannt, und auf Windows-Systemen so genannte" Directory Junctions", wie sie mit dem Befehl mklink /H jeder Nutzer auch ohne Admin-Rechte anlegen kann. Die Forscher platzierten außerdem "Schadcode" in Gestalt der bekannten EICAR-Testdatei auf dem jeweiligen System.
Unter vorheriger Ermittlung des richtigen Timings nutzten sie anschließend die Zeitspanne zwischen dem Erkennen der Bedrohung durch die AV-Software und deren Löschung/Verschiebung in Quarantäne, um den Dateizugriff durch die AV-Software mittels Symlink/Junction zu einem anderen Dateipfad umzuleiten. In der Konsequenz löschte beziehungsweise verschob die Software dann die dort hinterlegte statt der schädlichen Datei.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Mit ihrem Exploit-Code nutzten die Forscher die Root- beziehungsweise SYSTEM-Rechte aus, über die AV-Software typischerweise verfügt. Im Blogeintrag betont das Team von Rack911 Labs, dass über die bloße "Zerstörung" von Systemen und Software hinaus auch noch andere, auf Rechteausweitung basierende Angriffsstrategien denkbar gewesen wären.
Den PoC-Code sowie zwei Angriffs-Videos finden Interessierte im Blogeintrag von Rack911 Labs. (ovw)
