PoC: Avast, AVG und Microsoft Defender von "Wiper-Tool" zum Löschen von Dateien missbraucht

Sicherheit (Pexels, allgemeine Nutzung)[English]Der Einsatz von Sicherheitstools wie Virenscanner soll Systeme vor Bedrohungen schützen. Aber Fehlfunktionen oder Schwachstellen können ungewollt Lücken aufreißen und Systeme einem besonderen Risiko aussetzen. Ein Sicherheitsforscher hat kürzlich in einem Proof-of-Concept (POC) gezeigt, dass Anti-Malware-Lösungen dazu gebracht werden können, gezielt Dateien auf einem System zu löschen. Der Forscher hat diesen Ansatz "Aikido" genannt – abgeleitet von der japanischen Kampfkunst, die den Angriff eines Gegners gegen diesen selbst anwendet.


Anzeige

Es wird ja immer diskutiert, ob man Fremdvirenscanner zum Schutz seiner (Windows) Systeme einsetzen soll. Viel Virenscanner, viel Schutz, wird manchmal suggeriert. Hier im Blog hatte ich aber mehrfach darauf hingewiesen, dass Fehlfunktionen und Schwachstellen in solchen Produkten Risiken darstellen und Schäden verursachen können. Or Yair, Sicherheitsforscher von SafeBreach wollte es genauer wissen und hat sich verschiedene Endpoint Detection and Response (EDR) und Antivirus (AV) Lösungen angesehen.

Dabei stieß er (wie erwartet) auf verschiedene Schwachstellen in diesen Produkten. Vor allen Dingen hatten es ihm sogenannte Wiper angetan, also Software, die Dateien von den Zielsystemen löscht. Sicherheitslösungen wie Antivirus-Software laufen ja mit höchsten Systemrechten, besitzen also vollen Zugriff auf alle Dateien des Systems. Mittels dieser Schwachstellen konnte er einen mit normalen Nutzerprivilegien laufenden Wiper dazu bringen, die mit Systemprivilegien laufenden Sicherheitslösungen zu veranlassen, harmlose Dateien auf den Zielsystemen zu löschen. Dies umfasste auch Systemdateien, so dass die Systeme nicht mehr bootbar waren.

Der Sicherheitsforscher hat dabei elf Sicherheitsprodukte verschiedener Hersteller untersucht und in 50 % der Produkte Schwachstellen gefunden. Angreifbar waren der Microsoft Defender, Sentinel One EDR, Trend Micro Aprex One, Avast Antivius und AVG Antivirus. Alle genannten Produkte sind häufig unter Windows im Einsatz. Beim Microsoft Defender und Defender for Endpoint ließen sich zwar keine Einzeldateien löschen, aber es konnten komplette Verzeichnisse vom Wiper entfernt werden.

Der Sicherheitsforscher hat  diese Schwachstellen zwischen Juli und August 2022 an die betroffenen Hersteller gemeldet. Es gab in den folgenden vier Monaten eine enge Kooperation mit den Herstellern, um nachfolgende Schwachstellen vor der Veröffentlichung des PoC zu schließen.

  • Microsoft: CVE-2022-37971
  • TrendMicro: CVE-2022-45797
  • Avast und AVG: CVE-2022-4173

Die Anbieter haben neue Versionen oder Patches für die angreifbare Software veröffentlicht, um diese Sicherheitslücke zu schließen:

  • Microsoft Malware Protection Engine: 1.1.19700.2
  • TrendMicro Apex One: Hotfix 23573 und Patch_b11136
  • Avast & AVG Antivirus: 22.10

Sofern noch nicht erfolgt, sollten Nutzer auf diese Versionen aktualisieren. Die Erkenntnisse hat der Sicherheitsforscher in einem Proof-of-Concept (POC) zusammen getragen und auf der BlackHat Europe vorgestellt. Ein erster Abriss wurde dann am 7. Dezember 2022 im Artikel SafeBreach Labs Researcher Discovers Multiple Zero-Day Vulnerabilities in Leading Endpoint Detection and Response (EDR) and Antivirus (AV) Solutions veröffentlicht. (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu PoC: Avast, AVG und Microsoft Defender von "Wiper-Tool" zum Löschen von Dateien missbraucht

  1. Daniel sagt:

    Hört sich doch wieder mal herrlich an. Software die angeblich Sicherheit bringen soll löscht die Dateien dann gleich mal selbst. Und ob nun einzelne Dateien oder gleich ganze Verzeichnisse im Nirwana verschwinden wäre mir persönlich egal, beides ist ein No-go.

    Die meisten Hersteller der so genannten Sicherheitssoftware packen da soviel Zusatzfunktionen rein die am Ende die Wenigsten nutzen, ich erinnere mich da an den Cryptowährungsschürfer in einer Antivirenlösung. Leider reißen sie auch große Lücken in die Sicherheit des Betriebssystem wie man wieder sieht.

    Den größten Nutzen von der Software hat der Hersteller der dafür oft nicht unerhebliche Summen für die Abos möchte.

  2. Dolly sagt:

    Elefant im Raum: Warum sind die Systeme immer noch so unsicher, dass man diese extra Sicherheitstools braucht?

    • Steter Tropfen sagt:

      Weil ein völlig sicheres System kaum noch zu verwenden wäre. Schon mit dem Windows-Benutzerkonto kriegt man als fortgeschrittener Anwender von der Benutzertantengängelung so oft was auf die Finger, bis man fluchend ins Administratorkonto wechselt. Ein „sicheres" System hätte nur eingeschränkte Benutzerkonten, man dürfte nichts anpassen und nur Software nutzen, die mitgeliefert wird, fest eingebrannt in versiegelte Hardware… und trotzdem könnte noch ein Rohstoffdieb kommen und den Kasten stehlen, wegen der verbauten Kupferkabel. Absolut sicher ist nur der Tod.

  3. OpenYourMind sagt:

    Das unlösbare Paradoxon von Sicherheitssoftware, das unlösbare Paradoxon für Sicherheitsfetischisten:
    Du bewaffnest deine eigenen Soldaten bis an die Zähne und anschließend schießen sie dir in den Rücken.
    Wenn du willst, dass etwas wirklich richtig gemacht wird….mach es selbst !
    Nur dazu sind gerade die Sicherheitsfetischisten weder bereit noch in der Lage. Deshalb schreien sie mit demonstrativ vollen Hosen nach Totalüberwachung und -kontrolle für alle. Aber auch dann haben sie hinten immer noch keine Augen….

  4. M. sagt:

    Kleiner Hinweis für die, die sich wundern, warum AVG/Avast bei ihnen auf Version 22.9 steht und kein Update anbietet – die Lücke wurde vielleicht geschlossen, aber das Update dazu nicht veröffentlicht!

    Hier die Aussagen vom Support diesbezüglich:
    Ich muss Ihnen mitteilen, dass die Versionen 22.10 und 22.11 übersprungen wurden und die Version 22.12 nächste Woche Dienstag, den 13. Dezember, veröffentlicht wird, und dass das von Ihnen erwähnte Problem mit diesem Update behoben wird.

    Und auf weitere Nachfrage:
    Ja, die Sicherheitslücke CVE-2022-4173 ist noch nicht geschlossen worden und betrifft Sie derzeit noch, aber das Problem wird mit Version 22.12 behoben werden.

  5. Anonymous sagt:

    wo sieht man die Version der Engine beim MS Defender?

    • Günter Born sagt:

      Ich hatte 2017 mal was in diesem Artikel zusammen gezimmert – dank Windows as a service hat sich das aber wieder geändert. Aber auf dem skizzierten Weg über die Einstellungen solltest Du die Details herausfinden.

      • Stefan Kanthak sagt:

        "Ordentlich" gefrickelte Windows-Programme/DLLs/Treiber, sprich "portable executables", enthalten eine VERSIONINFO-Resource. Deren Daten zeigt der Windows^WFile Explorer nach Rechtsklick->Eigenschaften auf dem Reiter "Details" an; Missbrauch^WNutzer der Kommandozeile können das seit Windows Server 2003 mitgelieferte Programm CERTUTIL.exe verwenden.
        Alternativ (mit Quä^Helltext und Bauanleitung): siehe https://skanthak.homepage.t-online.de/tidbits.html#Version
        Das in den Resource Kits bzw. Resource Kit Tools für Windows 2000/XP/2003 enthaltene, ähnlich "geschwätzige" Programm FILEVER.exe hat Microsoft dummerweise gestrichen.

    • Bernd B. sagt:

      Die höchste Versionsnummer (Ordnername) unter "C:\ProgramData\Microsoft\Windows Defender\Platform" ist mW die derzeit Genutzte.

  6. mvo sagt:

    "Der Sicherheitsforscher hat dabei elf Sicherheitsprodukte verschiedener Hersteller untersucht und in 50 % der Produkte Schwachstellen gefunden. "
    Ich gebe zu, dass ich in Mathematik nie besonders gut war, aber 50% von elf sind bei mir 5,5. In dem verlinkten Beitrag heißt es dann auch: "Overall, I tested 11 different security products against this exploit and found six of them to be vulnerable—that's more than 50%."
    Was mich wundert, ist auch die schräge Auswahl der Produkte. AVG mit Palo Alto in einem Test? Weder Marktanteil oder Funktionsumfang, noch Zielgruppe oder Preis kann hier ein Kriterium gewesen sein. So eine Auswahl würde ich nur treffen, wenn ich ein vorher festgelegtes Ergebnis erreichen will. "Mehr als 50% hört sich erstmal sensationell an". Bei nur 11 getesteten Produkten hat das aber wenig Aussagekraft. Hätte man von z.B. 30 getesten Lösungen bei sechs diese Probleme gefunden, sähe der prozentuale Anteil mit 20% ganz anderes aus.

  7. Frank sagt:

    Defender ist das erste was ich runterschmeiße!

  8. Luzi sagt:

    Jede Waffe, die du verwendest, kann auch GEGEN dich verwendet werden.

    Warum soll nicht auch ein AV-Programm, deren AV-Scan und Delete/"Repair"-Routinen ggf. in (aussagekräftigen selbsterklärenden) DLLs o.ä. verpackt sind, von anderen Programmen (hier dem Wiper-Tool) missbraucht werden können??
    Die Pfade und Dateinamen der AV-Prgs sind ja allgemein bekannt bzw. herausfindbar.

    Das Ergebnis verwundert mich insofern, das es NUR 6 von 11 PRGs betreffen soll …

    Sowas in der Art ist sicherlich auch denkbar für "Schlangenöl" wie den CCleaner, der ja auch eine Wiperfunktionialität enthält … Mal schauen, ob bereits oder wann diese von jemanden "missbraucht" wird, um Systeme zu killen … ?

  9. Bernd B. sagt:

    Diese Diskussion, "Schlagenöl" auf dem Endpunkt einzusetzen oder nicht, ist ja nicht neu. Ich sehe es so:
    Bei DAU bis zu gemeinem Anwender ist es eher hilfreich als schädlich, bei Poweruser (Ausnahme: Die Bastler) und aufwärts umgekehrt.
    Als Firma würde ich meine Endpunkte schon mit AV ausstatten, 'notfalls' eben MS Defender.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.