Google Projekt Zero: Antivirus-Software als Archillesferse

Wichtige Erkenntnis des Google-Projekts Zero (welches Zero-Day-Exploits aufdecken sollte): Antivirussoftware kann die Archillesferse eines Systems sein und einen Malware-Angriff erst ermöglichen.

Benutzer lieben Antivirus-Software und die Hersteller sowie Virentestlabors bestätigen den Anwendern die richtige Wahl getroffen zu haben. Die in diversen Antivirus-Produkten verwendeten Emulatoren, in denen Schadcode zur Analyse ausgeführt werden kann, erweisen sich als Schwachstelle. Ich hatte im Blog bereits thematisiert, dass Antivirus-Software manchmal mehr schadet als nutzt. Hier einige Artikel:

Achtung Teffer: Deine Antivirus-Software als Sicherheitslücke?
Abgelaufene Sicherheitssoftware: Die “Backdoor” für Malware?

Jetzt kommt eine weitere Bestätigung von Googles Projekt Zero. In diesem Blog-Beitrag wird die Analyse eines Exploits in der ESET Scan-Engine beschrieben. ESET NOD32 verwendet einen Minifilter, um alle Disk I/O-Zugriffe während der Analyse zu unterbinden. Solche Zugriffe sind z.B. per Browser, E-Mail-Client etc. möglich. Die Analyse der ESET-Emulationssoftware verdeutlicht nun, dass der Emulator zur Abschottung der Disk I/O-Zugriffe mit trivialen Ansätzen kompromittiert werden kann. Die Aussage im Google Blog-Beitrag:

Any network connected computer running ESET can be completely compromised. A complete compromise would allow reading, modifying or deleting any files on the system regardless of access rights; installing any program or rootkit; accessing hardware such as camera, microphones or scanners; logging all system activity such as keystrokes or network traffic; and so on.

Sprich: Wer ESET auf seinem System hat und dieses mit einem Netzwerk verbunden ist, ist angreifbar. Details findet ihr im verlinkten Google-Beitrag.