• IT-Karriere:
  • Services:

Sicherheitslücke: 28 Antivirenprogramme konnten sich selbst zerstören

Ein einfacher Trick ließ Antivirensoftware wichtige Dateien löschen.

Artikel veröffentlicht am ,
Antivirensoftware löscht Systemdateien oder sich selbst.
Antivirensoftware löscht Systemdateien oder sich selbst. (Bild: Clker-Free-Vector-Images/Pixabay)

Eigentlich sollen Antivirenprogramme vor Bedrohungen oder Schadsoftware schützen, doch immer wieder enthält die Software selbst Sicherheitslücken. Die Sicherheitsfirma Rack911 Labs entdeckte eine solche in 28 Antivirenprogrammen unter Windows, MacOS und Linux: Mit einem einfachen Trick konnten die Programme dazu gebracht werden, wichtige Programm- oder Systemdateien zu löschen. Die Antivirensoftware konnte sich selbst oder das Betriebssystem zerstören. Die meisten Antivirenprogramme haben das Problem mittlerweile behoben - manche allerdings über sechs Monate nach einer Meldung durch Rack911 Labs immer noch nicht.

Stellenmarkt
  1. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  2. über duerenhoff GmbH, Garching

Sofern sich Nutzer eine Antivirensoftware installiert haben, überprüft diese üblicherweise jede neu auf der Festplatte abgelegte Datei auf Schadsoftware. Identifiziert sie eine möglicherweise schädliche Datei, verschiebt sie diese in einen abgesicherten Bereich (Quarantäne) oder löscht sie.

An diesem Punkt setzten die Sicherheitsforscher von Rack911 Labs an: Sie erzeugten einen Ordner auf einem Testsystem und legten darin eine Schaddatei ab, die von der jeweiligen Antivirensoftware erkannt wurde. In dem kurzen Zeitraum zwischen Erkennen und Löschen beziehungsweise In-Quarantäne-Setzen ersetzten die Forscher den Ordner durch eine Weiterleitung auf einen anderen Ordner. Unter Linux und MacOS setzten sie einen Symlink und Windows eine Directory Junction.

Die Antivirenprogramme folgten der Weiterleitung und entfernten die entsprechenden Dateien in dem verlinkten Ordner. Da die Antivirenprogramme mit Root-Rechten laufen, konnten auch wichtige Systemdateien gelöscht werden - oder der Antivirensoftware selbst. Das Betriebssystem oder die Antivirensoftware konnte so unbenutzbar gemacht werden.

Nicht alle Antivirenprogramme haben die Sicherheitslücke behoben

Um die Sicherheitslücke ausnutzen zu können, muss ein Angreifer mit Benutzerrechten Dateien anlegen und Symlinks setzen können. Ansonsten sei der Angriff trivial, schreibt Rack911 Labs. Am schwierigsten sei es gewesen, den richtigen Zeitpunkt zwischen der Erkennung und dem Löschen der Dateien abzupassen. Zudem konnten aktuell verwendete Dateien unter Windows nicht gelöscht werden - allerdings löschten manche Antivirenprogramme die Dateien nach einem Neustart des Betriebssystems.

Entdeckt hatte Rack911 Labs die Sicherheitslücken seit 2018 in insgesamt 28 verschiedenen Antivirenprogrammen, darunter Software von Avast, Avira, Bitdefender, Eset, F-Secure, Fireeye, Kaspersky, Malwarebytes, McAfee und Sophos. Die meisten Firmen haben laut Rack911 Labs die Sicherheitslücken behoben, manche sogar ein Advisory herausgegeben. Wenige Hersteller, die die Sicherheitsfirma nicht nennt, hätten die Sicherheitslücke jedoch noch nicht geschlossen, obwohl sie über sechs Monate Zeit dafür gehabt hätten, schreibt Rack911 Labs. Daher habe sich die Sicherheitsfirma nun dazu entschlossen, die Lücke mitsamt Proof-of-Concept-Code zu veröffentlichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

janoP 20. Mai 2020 / Themenstart

Lass uns einfach eine Anwendung mit Root-Rechten laufen lassen, die *alle auf der...

7of9 29. Apr 2020 / Themenstart

Die Browser Plugins von Kaserspky sind rein optional. Erstmal informieren bevor man...

countzero 28. Apr 2020 / Themenstart

Habe dazu vorhin mal recherchiert und folgende Übersicht gefunden: https://i.stack.imgur...

gaym0r 28. Apr 2020 / Themenstart

Wer macht sowas denn?

NeoChronos 28. Apr 2020 / Themenstart

es kommt immer drauf an, was für Fehler gemacht werden Selbst wenn vorher geprüft wurde...

Kommentieren


Folgen Sie uns
       


Samsung Galaxy S20 - Hands on

Samsung hat gleich drei neue Modelle der Galaxy-S20-Serie vorgestellt. Golem.de konnte sich die Smartphones im Vorfeld bereits genauer anschauen.

Samsung Galaxy S20 - Hands on Video aufrufen
    •  /