Sicherheitslücke: 28 Antivirenprogramme konnten sich selbst zerstören

Ein einfacher Trick ließ Antivirensoftware wichtige Dateien löschen.

Artikel veröffentlicht am ,
Antivirensoftware löscht Systemdateien oder sich selbst.
Antivirensoftware löscht Systemdateien oder sich selbst. (Bild: Clker-Free-Vector-Images/Pixabay)

Eigentlich sollen Antivirenprogramme vor Bedrohungen oder Schadsoftware schützen, doch immer wieder enthält die Software selbst Sicherheitslücken. Die Sicherheitsfirma Rack911 Labs entdeckte eine solche in 28 Antivirenprogrammen unter Windows, MacOS und Linux: Mit einem einfachen Trick konnten die Programme dazu gebracht werden, wichtige Programm- oder Systemdateien zu löschen. Die Antivirensoftware konnte sich selbst oder das Betriebssystem zerstören. Die meisten Antivirenprogramme haben das Problem mittlerweile behoben - manche allerdings über sechs Monate nach einer Meldung durch Rack911 Labs immer noch nicht.

Sofern sich Nutzer eine Antivirensoftware installiert haben, überprüft diese üblicherweise jede neu auf der Festplatte abgelegte Datei auf Schadsoftware. Identifiziert sie eine möglicherweise schädliche Datei, verschiebt sie diese in einen abgesicherten Bereich (Quarantäne) oder löscht sie.

An diesem Punkt setzten die Sicherheitsforscher von Rack911 Labs an: Sie erzeugten einen Ordner auf einem Testsystem und legten darin eine Schaddatei ab, die von der jeweiligen Antivirensoftware erkannt wurde. In dem kurzen Zeitraum zwischen Erkennen und Löschen beziehungsweise In-Quarantäne-Setzen ersetzten die Forscher den Ordner durch eine Weiterleitung auf einen anderen Ordner. Unter Linux und MacOS setzten sie einen Symlink und Windows eine Directory Junction.

Die Antivirenprogramme folgten der Weiterleitung und entfernten die entsprechenden Dateien in dem verlinkten Ordner. Da die Antivirenprogramme mit Root-Rechten laufen, konnten auch wichtige Systemdateien gelöscht werden - oder der Antivirensoftware selbst. Das Betriebssystem oder die Antivirensoftware konnte so unbenutzbar gemacht werden.

Nicht alle Antivirenprogramme haben die Sicherheitslücke behoben

Um die Sicherheitslücke ausnutzen zu können, muss ein Angreifer mit Benutzerrechten Dateien anlegen und Symlinks setzen können. Ansonsten sei der Angriff trivial, schreibt Rack911 Labs. Am schwierigsten sei es gewesen, den richtigen Zeitpunkt zwischen der Erkennung und dem Löschen der Dateien abzupassen. Zudem konnten aktuell verwendete Dateien unter Windows nicht gelöscht werden - allerdings löschten manche Antivirenprogramme die Dateien nach einem Neustart des Betriebssystems.

Entdeckt hatte Rack911 Labs die Sicherheitslücken seit 2018 in insgesamt 28 verschiedenen Antivirenprogrammen, darunter Software von Avast, Avira, Bitdefender, Eset, F-Secure, Fireeye, Kaspersky, Malwarebytes, McAfee und Sophos. Die meisten Firmen haben laut Rack911 Labs die Sicherheitslücken behoben, manche sogar ein Advisory herausgegeben. Wenige Hersteller, die die Sicherheitsfirma nicht nennt, hätten die Sicherheitslücke jedoch noch nicht geschlossen, obwohl sie über sechs Monate Zeit dafür gehabt hätten, schreibt Rack911 Labs. Daher habe sich die Sicherheitsfirma nun dazu entschlossen, die Lücke mitsamt Proof-of-Concept-Code zu veröffentlichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


janoP 20. Mai 2020

Lass uns einfach eine Anwendung mit Root-Rechten laufen lassen, die *alle auf der...

7of9 29. Apr 2020

Die Browser Plugins von Kaserspky sind rein optional. Erstmal informieren bevor man...

countzero 28. Apr 2020

Habe dazu vorhin mal recherchiert und folgende Übersicht gefunden: https://i.stack.imgur...

gaym0r 28. Apr 2020

Wer macht sowas denn?



Aktuell auf der Startseite von Golem.de
T-1000
Roboter aus Metall kann sich verflüssigen

Ein Team aus den USA und China hat einen Roboter entwickelt, der seinen Aggregatzustand von fest zu flüssig und zurück ändern kann.

T-1000: Roboter aus Metall kann sich verflüssigen
Artikel
  1. Apple: MacBook Pro braucht wegen Lieferproblemen nur kleine Kühler
    Apple
    MacBook Pro braucht wegen Lieferproblemen nur kleine Kühler

    In den neuen MacBook Pro mit M2 Pro und M2 Max sitzen kleinere Kühlkörper. Der Grund sind Probleme in der Lieferkette.

  2. Trotz Exportverbot: Chinesische Kernforscher nutzen weiter US-Hardware
    Trotz Exportverbot
    Chinesische Kernforscher nutzen weiter US-Hardware

    An Chinas wichtigstes Kernforschungszentrum darf seit 25 Jahren keine US-Hardware geliefert werden. Dennoch nutzt es halbwegs aktuelle Xeons und GPUs.

  3. Virtualisieren mit Windows, Teil 3: Betrieb und Pflege von VMs mit Hyper-V
    Virtualisieren mit Windows, Teil 3
    Betrieb und Pflege von VMs mit Hyper-V

    Hyper-V ist ein Hypervisor, um VMs effizient verwalten zu können. Trotz einiger weniger Schwächen ist es eine gute Virtualisierungssoftware, wir stellen sie in drei Teilen vor. Im letzten geht es um Betrieb und Pflege der VMs.
    Eine Anleitung von Holger Voges

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PCGH Cyber Week - Rabatte bis 50% • Acer Predator 32" WQHD 170Hz 529€ • MindStar-Tiefstpreise: MSI RTX 4090 1.982€, Sapphire RX 7900 XT 939€ • Philips Hue bis -50% • Asus Gaming-Laptops bis -25% • XFX Radeon RX 7900 XTX 1.199€ • Kingston 2TB 112,90€ • Nanoleaf bis -25% [Werbung]
    •  /