Google Projekt Zero: Antivirus-Software als Archillesferse

Wichtige Erkenntnis des Google-Projekts Zero (welches Zero-Day-Exploits aufdecken sollte): Antivirussoftware kann die Archillesferse eines Systems sein und einen Malware-Angriff erst ermöglichen.


Anzeige

Benutzer lieben Antivirus-Software und die Hersteller sowie Virentestlabors bestätigen den Anwendern die richtige Wahl getroffen zu haben. Die in diversen Antivirus-Produkten verwendeten Emulatoren, in denen Schadcode zur Analyse ausgeführt werden kann, erweisen sich als Schwachstelle. Ich hatte im Blog bereits thematisiert, dass Antivirus-Software manchmal mehr schadet als nutzt. Hier einige Artikel:

Achtung Teffer: Deine Antivirus-Software als Sicherheitslücke?
Abgelaufene Sicherheitssoftware: Die "Backdoor" für Malware?

Jetzt kommt eine weitere Bestätigung von Googles Projekt Zero. In diesem Blog-Beitrag wird die Analyse eines Exploits in der ESET Scan-Engine beschrieben. ESET NOD32 verwendet einen Minifilter, um alle Disk I/O-Zugriffe während der Analyse zu unterbinden. Solche Zugriffe sind z.B. per Browser, E-Mail-Client etc. möglich. Die Analyse der ESET-Emulationssoftware verdeutlicht nun, dass der Emulator zur Abschottung der Disk I/O-Zugriffe mit trivialen Ansätzen kompromittiert werden kann. Die Aussage im Google Blog-Beitrag:

Any network connected computer running ESET can be completely compromised. A complete compromise would allow reading, modifying or deleting any files on the system regardless of access rights; installing any program or rootkit; accessing hardware such as camera, microphones or scanners; logging all system activity such as keystrokes or network traffic; and so on.

black

Sprich: Wer ESET auf seinem System hat und dieses mit einem Netzwerk verbunden ist, ist angreifbar. Details findet ihr im verlinkten Google-Beitrag.


Anzeige


Anzeige

Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Google Projekt Zero: Antivirus-Software als Archillesferse

  1. Charles sagt:

    Mich würde ja in diesem Zusammenhang eine Analyse sehr interessieren,ob der Windows Defender ebenfalls eine potenzielle Vireschleuder sein könnte ?

  2. Günter Born sagt:

    Update: ESET hat einen Fix herausgegeben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.