Sicherheitslücke: 28 Antivirenprogramme konnten sich selbst zerstören

Ein einfacher Trick ließ Antivirensoftware wichtige Dateien löschen.

Artikel veröffentlicht am ,
Antivirensoftware löscht Systemdateien oder sich selbst.
Antivirensoftware löscht Systemdateien oder sich selbst. (Bild: Clker-Free-Vector-Images/Pixabay)

Eigentlich sollen Antivirenprogramme vor Bedrohungen oder Schadsoftware schützen, doch immer wieder enthält die Software selbst Sicherheitslücken. Die Sicherheitsfirma Rack911 Labs entdeckte eine solche in 28 Antivirenprogrammen unter Windows, MacOS und Linux: Mit einem einfachen Trick konnten die Programme dazu gebracht werden, wichtige Programm- oder Systemdateien zu löschen. Die Antivirensoftware konnte sich selbst oder das Betriebssystem zerstören. Die meisten Antivirenprogramme haben das Problem mittlerweile behoben - manche allerdings über sechs Monate nach einer Meldung durch Rack911 Labs immer noch nicht.

Stellenmarkt
  1. IT-Supporterin/IT-Supporter (m/w/d) Regionaldirektion Ost Berlin Hauptabteilung IT
    Berufsgenossenschaft Handel und Warenlogistik, Berlin
  2. Solution Architect IAM (m/w/d)
    I.K. Hofmann GmbH, Region Magdeburg
Detailsuche

Sofern sich Nutzer eine Antivirensoftware installiert haben, überprüft diese üblicherweise jede neu auf der Festplatte abgelegte Datei auf Schadsoftware. Identifiziert sie eine möglicherweise schädliche Datei, verschiebt sie diese in einen abgesicherten Bereich (Quarantäne) oder löscht sie.

An diesem Punkt setzten die Sicherheitsforscher von Rack911 Labs an: Sie erzeugten einen Ordner auf einem Testsystem und legten darin eine Schaddatei ab, die von der jeweiligen Antivirensoftware erkannt wurde. In dem kurzen Zeitraum zwischen Erkennen und Löschen beziehungsweise In-Quarantäne-Setzen ersetzten die Forscher den Ordner durch eine Weiterleitung auf einen anderen Ordner. Unter Linux und MacOS setzten sie einen Symlink und Windows eine Directory Junction.

Die Antivirenprogramme folgten der Weiterleitung und entfernten die entsprechenden Dateien in dem verlinkten Ordner. Da die Antivirenprogramme mit Root-Rechten laufen, konnten auch wichtige Systemdateien gelöscht werden - oder der Antivirensoftware selbst. Das Betriebssystem oder die Antivirensoftware konnte so unbenutzbar gemacht werden.

Nicht alle Antivirenprogramme haben die Sicherheitslücke behoben

Golem Akademie
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    17. Februar 2022, Virtuell
  2. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
Weitere IT-Trainings

Um die Sicherheitslücke ausnutzen zu können, muss ein Angreifer mit Benutzerrechten Dateien anlegen und Symlinks setzen können. Ansonsten sei der Angriff trivial, schreibt Rack911 Labs. Am schwierigsten sei es gewesen, den richtigen Zeitpunkt zwischen der Erkennung und dem Löschen der Dateien abzupassen. Zudem konnten aktuell verwendete Dateien unter Windows nicht gelöscht werden - allerdings löschten manche Antivirenprogramme die Dateien nach einem Neustart des Betriebssystems.

Entdeckt hatte Rack911 Labs die Sicherheitslücken seit 2018 in insgesamt 28 verschiedenen Antivirenprogrammen, darunter Software von Avast, Avira, Bitdefender, Eset, F-Secure, Fireeye, Kaspersky, Malwarebytes, McAfee und Sophos. Die meisten Firmen haben laut Rack911 Labs die Sicherheitslücken behoben, manche sogar ein Advisory herausgegeben. Wenige Hersteller, die die Sicherheitsfirma nicht nennt, hätten die Sicherheitslücke jedoch noch nicht geschlossen, obwohl sie über sechs Monate Zeit dafür gehabt hätten, schreibt Rack911 Labs. Daher habe sich die Sicherheitsfirma nun dazu entschlossen, die Lücke mitsamt Proof-of-Concept-Code zu veröffentlichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


janoP 20. Mai 2020

Lass uns einfach eine Anwendung mit Root-Rechten laufen lassen, die *alle auf der...

7of9 29. Apr 2020

Die Browser Plugins von Kaserspky sind rein optional. Erstmal informieren bevor man...

countzero 28. Apr 2020

Habe dazu vorhin mal recherchiert und folgende Übersicht gefunden: https://i.stack.imgur...

gaym0r 28. Apr 2020

Wer macht sowas denn?

NeoChronos 28. Apr 2020

es kommt immer drauf an, was für Fehler gemacht werden Selbst wenn vorher geprüft wurde...



Aktuell auf der Startseite von Golem.de
Open Source
"Antworten Sie innerhalb von 24 Stunden"

Die E-Mail eines großen Konzerns an den Entwickler von Curl zeigt wohl eher aus Versehen, wie problematisch das Verhältnis vieler Firmen zu Open-Source-Software ist.

Open Source: Antworten Sie innerhalb von 24 Stunden
Artikel
  1. Konsumenten-Studie: Elektroauto-Interesse steigt und hängt vom Strompreis ab
    Konsumenten-Studie
    Elektroauto-Interesse steigt und hängt vom Strompreis ab

    Die hohen Benzinkosten geben dem Interesse an der Elektromobilität Aufwind, so eine Studie. Allerdings werden utopisch hohe Reichweiten gefordert.

  2. Start bei Sky: Peacock liefert nur einen Bruchteil der Konkurrenz
    Start bei Sky
    Peacock liefert nur einen Bruchteil der Konkurrenz

    Wir haben uns angeschaut, was die Integration von Peacock für Sky-Abonnenten bringt. Im Moment: weniger als 70 Neuzugänge.
    Eine Analyse von Ingo Pakalski

  3. Elektro-Pick-up: Neuer Tesla-Cybertruck-Prototyp gefilmt
    Elektro-Pick-up
    Neuer Tesla-Cybertruck-Prototyp gefilmt

    In einem Video wird ein neuer Cybertruck-Prototyp von Tesla im Detail gezeigt. Es stammt vermutlich aus der Gigafactory in Texas.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Palit RTX 3080 12GB 1.548,96€ • Acer Curved Gaming-Monitor 27" 259€ • Corsair 16GB DDR4-4000 111,21€ • MindStar (u.a. 8GB DDR5-4800 89€) • 10% auf Gaming bei Ebay (u. a. Gigabyte 34" Curved UWQHD 144Hz 429,30€) • Edifier Aktivlautsprecher 119€ • 4 Blu-rays für 22€ [Werbung]
    •  /