• IT-Karriere:
  • Services:

Sicherheitslücke: 28 Antivirenprogramme konnten sich selbst zerstören

Ein einfacher Trick ließ Antivirensoftware wichtige Dateien löschen.

Artikel veröffentlicht am ,
Antivirensoftware löscht Systemdateien oder sich selbst.
Antivirensoftware löscht Systemdateien oder sich selbst. (Bild: Clker-Free-Vector-Images/Pixabay)

Eigentlich sollen Antivirenprogramme vor Bedrohungen oder Schadsoftware schützen, doch immer wieder enthält die Software selbst Sicherheitslücken. Die Sicherheitsfirma Rack911 Labs entdeckte eine solche in 28 Antivirenprogrammen unter Windows, MacOS und Linux: Mit einem einfachen Trick konnten die Programme dazu gebracht werden, wichtige Programm- oder Systemdateien zu löschen. Die Antivirensoftware konnte sich selbst oder das Betriebssystem zerstören. Die meisten Antivirenprogramme haben das Problem mittlerweile behoben - manche allerdings über sechs Monate nach einer Meldung durch Rack911 Labs immer noch nicht.

Stellenmarkt
  1. ADAC IT Service GmbH, München
  2. DPD Deutschland GmbH, Großostheim

Sofern sich Nutzer eine Antivirensoftware installiert haben, überprüft diese üblicherweise jede neu auf der Festplatte abgelegte Datei auf Schadsoftware. Identifiziert sie eine möglicherweise schädliche Datei, verschiebt sie diese in einen abgesicherten Bereich (Quarantäne) oder löscht sie.

An diesem Punkt setzten die Sicherheitsforscher von Rack911 Labs an: Sie erzeugten einen Ordner auf einem Testsystem und legten darin eine Schaddatei ab, die von der jeweiligen Antivirensoftware erkannt wurde. In dem kurzen Zeitraum zwischen Erkennen und Löschen beziehungsweise In-Quarantäne-Setzen ersetzten die Forscher den Ordner durch eine Weiterleitung auf einen anderen Ordner. Unter Linux und MacOS setzten sie einen Symlink und Windows eine Directory Junction.

Die Antivirenprogramme folgten der Weiterleitung und entfernten die entsprechenden Dateien in dem verlinkten Ordner. Da die Antivirenprogramme mit Root-Rechten laufen, konnten auch wichtige Systemdateien gelöscht werden - oder der Antivirensoftware selbst. Das Betriebssystem oder die Antivirensoftware konnte so unbenutzbar gemacht werden.

Nicht alle Antivirenprogramme haben die Sicherheitslücke behoben

Golem Akademie
  1. Docker & Containers - From Zero to Hero
    15. - 17. Juni 2021, online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Um die Sicherheitslücke ausnutzen zu können, muss ein Angreifer mit Benutzerrechten Dateien anlegen und Symlinks setzen können. Ansonsten sei der Angriff trivial, schreibt Rack911 Labs. Am schwierigsten sei es gewesen, den richtigen Zeitpunkt zwischen der Erkennung und dem Löschen der Dateien abzupassen. Zudem konnten aktuell verwendete Dateien unter Windows nicht gelöscht werden - allerdings löschten manche Antivirenprogramme die Dateien nach einem Neustart des Betriebssystems.

Entdeckt hatte Rack911 Labs die Sicherheitslücken seit 2018 in insgesamt 28 verschiedenen Antivirenprogrammen, darunter Software von Avast, Avira, Bitdefender, Eset, F-Secure, Fireeye, Kaspersky, Malwarebytes, McAfee und Sophos. Die meisten Firmen haben laut Rack911 Labs die Sicherheitslücken behoben, manche sogar ein Advisory herausgegeben. Wenige Hersteller, die die Sicherheitsfirma nicht nennt, hätten die Sicherheitslücke jedoch noch nicht geschlossen, obwohl sie über sechs Monate Zeit dafür gehabt hätten, schreibt Rack911 Labs. Daher habe sich die Sicherheitsfirma nun dazu entschlossen, die Lücke mitsamt Proof-of-Concept-Code zu veröffentlichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. bei o2 für 44,99€ pro Monat (24 Monate Laufzeit)
  2. bei o2 für 42,99€ pro Monat (24 Monate Laufzeit)
  3. (u. a. LG 43UP76906LE 43 Zoll LCD für 482,50€ (inkl. Cashback), Gigaset C 430 A Duo 2x...
  4. 55,99€ (Bestpreis)

janoP 20. Mai 2020

Lass uns einfach eine Anwendung mit Root-Rechten laufen lassen, die *alle auf der...

7of9 29. Apr 2020

Die Browser Plugins von Kaserspky sind rein optional. Erstmal informieren bevor man...

countzero 28. Apr 2020

Habe dazu vorhin mal recherchiert und folgende Übersicht gefunden: https://i.stack.imgur...

gaym0r 28. Apr 2020

Wer macht sowas denn?

NeoChronos 28. Apr 2020

es kommt immer drauf an, was für Fehler gemacht werden Selbst wenn vorher geprüft wurde...


Folgen Sie uns
       


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /