Sicherheitslücke in Anti-Rootkit-Treiber von Avast und AVG
Durch Lücken im Anti-Rootkit-Treiber von Avast und AVG hätten Angreifer ihre Rechte ausweiten können. Ransomware nutzt den Treiber zum Beenden von Virenschutz.
(Bild: Gorodenkoff/Shutterstock.com)
Die IT-Sicherheitsforscher von SentinalLabs haben jahrelang unentdeckte Schwachstellen im Anti-Rootkit-Treiber von Avast und AVG gefunden. Angreifer hätten durch Ausnutzen der Lücken ihre Rechte im System ausweiten und so etwa Virenschutz deaktivieren, Systemdateien überschreiben, das Dateisystem zerstören oder die Kontrolle über das System übernehmen können. Während diese konkreten Lücken offenbar noch nicht in freier Wildbahn missbraucht wurden, berichtet Trend Micro von einer Ransomware, die den Anti-Rootkit-Treiber mitbringt, um damit andere Antivirenlösungen auszuschalten.
Die beiden Sicherheitslücken im Anti-Rootkit-Treiber stufen die Forscher als hohen Schweregrad ein (CVE-2022-26522, CVE-2022-26523; derzeit noch nicht öffentlich verfügbar). Unprivilegierte Nutzer könnten dadurch Code im Kernel ausführen. Die Lücken bestanden seit der Avast-Version 12.1.
Weit verbreiteter Code
Der Hersteller hatte im Jahr 2016 AVG gekauft und dessen Codebasis mit Avast-Code vereinigt, sodass damit der Avast-Anti-Rootkit-Treiber auch darin einzog. Die Lücken hat Avast, dessen Vorstand inzwischen eine Vereinbarung mit dem von NortonLiveLock zu einer Übernahme durch letzteres Unternehmen getroffen hat, stillschweigend mit der Version 22.1 aus dem Januar dieses Jahres sowohl im AVG- als auch im Avast-Virenschutz ausgebessert. Beide Produkte sind sehr weitverbreitet, Millionen Nutzer waren dadurch gefährdet, erläutern SentinalLabs in ihrer Meldung.
Zwar wurden die Aktualisierungen automatisch verteilt, dies könne in isolierten Netzen jedoch anders aussehen. Hier sollten Administratoren die Updates zügig manuell verteilen. Das Unternehmen habe ein Ausnutzen der Sicherheitslücken in freier Wildbahn noch nicht beobachtet. Es schätzt jedoch, dass Cyberkriminelle solche Lücken dort ausnutzen werden, wo IT-Verantwortliche noch keine Aktualisierung vorgenommen hätten.
Ransomware deaktiviert Virenschutz
Währenddessen hat Trend Micro eine Variante der Ransomware AvosLocker beobachtet, die die legitime Anti-Rootkit-Treiberdatei missbraucht, um Virenschutz zu deaktivieren und so der Entdeckung zu entgehen. Diese Ransomware sei vermutlich durch Sicherheitslücken in Zoho ManageEngine ADSelfService Plus in Systeme eingebrochen.
AvosLocker lädt anschließend eine WebShell in ASPX vom Command&Control-Server herunter. Außerdem verfrachtet die Malware die Fernwartung AnyDeskMSI auf die Maschine. Die Angreifer legten zudem einen neuen Domain-Nutzer mit Administratorrechten an. Dann untersuchten sie die Prozessliste nach laufenden Antivirenprogrammen und versuchten, diese mittels Taskkill zu beenden. Das klappt bei den meisten Antivirenprogrammen jedoch nicht.
Themenseite zu Rootkits auf heise online
Neben weiteren Tools wie Netscan, Nmap, Mimikatz, Impacket sowie PDQ deploy wurde laut Trend Micros Forschern auch der Anti-Rootkit-Treiber asWarPot.sys von Avast heruntergeladen. Diesen verankert die Malware im System, um anschließend damit mehrere Anti-Malware-Programme aufzuspüren und gegebenenfalls zu beenden. Trend Micro zufolge geht es um folgende Dienste und Prozesse: EndpointBasecamp.exe, Trend Micro Endpoint Basecamp, ResponseService.exe, PccNTMon.exe, SupportConnector.exe, AOTAgent.exe, CETASvc.exe, CETASvc, iVPAgent.exe, tmwscsvc.exe, TMResponse, AOTAgentSvc, TMBMServer, iVPAgent, Trend Micro Web Service Communicator, Tmccsf, Tmlisten, Ntrtscan sowie TmWSCSvc.
Nach dem Deaktivieren des Virenschutzes verankerten sich die Angreifer weiter im System und versuchten abermals, Tools wie Mimikatz und Impacket herunterzuladen, die zuvor vom aktiven Virenschutz noch ausgefiltert wurden. In der Meldung beschreiben die Forscher, wie die Cyberkriminellen das Netzwerk dann weiter ausgeforscht haben.
Zweischneidiges Schwert
Sicherheitslücken in Software, die eigentlich den Rechner schützen soll, sind äußerst kritisch einzustufen. Hier müssen Administratoren besonders zügig Aktualisierungen installieren, sofern das nicht automatisch geschieht. Die Hersteller geben offenbar nicht immer explizit einen Hinweis, wenn ein Update sicherheitsrelevant ist.
Dass ein Treiber, der dem Aufspüren und Beenden von Rootkits dienen soll, gegen andere Antivirensoftware eingesetzt wird, ist ebenfalls kurios. Der Grundsatz bei Werkzeugen, dass sich mit ihnen Dinge erschaffen oder zerstören lassen, macht ganz offensichtlich auch vor der IT nicht halt.
Update 11.05.2022 11:45 Uhr: Im Text verdeutlicht, dass die Übernahme von Avast durch NortonLifeLock lediglich vereinbart ist.
(dmk)
