Forscher haben einen Weg ermittelt um die Sicherheit von Desktop-Antivirus-Programmen vieler bekannter Hersteller zu umgehen. Darunter sind Hersteller wie McAfee, Trend Micro, AVG und BitDefender.
Die Methode wurde von Software Security Spezialisten von Matsousec.com entwickelt. Die Methode nutzt eine Schwachstelle die durch die Verankerung der AV-Treiber tief im Windows Betriebssystem entsteht. Zusammengefasst besteht der Angriff daraus, in dem man gutartigen Code absetzt, der die Sicherheitschecks des Antivirusprogramms besteht, und kurz bevor dieser ausgeführt wird, man den gutartigen Code gegen bösartigen Code mittels Swap-out austauscht . Die Ausnutzung des Exploits ist zeitkritisch. Es muss genau ausgeführt werden, damit der gutartige Code nicht zu früh oder zu spät ausgetauscht wird.
Systeme, die auf Multicore-Prozessoren laufen können durch die Methode von Matousec sicher ausgehebelt werden, da ein Thread nicht in der Lage ist andere simultan ablaufende Threads zu überwachen. Dadurch kann ein Großteil des AV-Schutzes für Windows PCs ausgetrickst werden, die unter normalen Bedingungen geblockt würden.
In jedem Fall muss die AV-Software die SSDT (System Service Descriptor Table) – oder einen ähnliche Methode verwenden, um mittels der Verankerung im Betriebssystem Teile des Betriebssystemkernels zu verändern. 100% der Produkte, die von Matousec getesten worden sind, waren anfällig. Matousec erstellte eine Liste von 34 Produkten, da das Unternehmen nicht mehr Zeit zum Testen hatte.
Der Exploit ist eingeschränkt. Es muss viel Code auf das Zielsystem geladen werden (von daher ist ein Shell-Code-Angriff ausgeschlossen) und der Angreifer muss binary Code auf das Zielsystem laden können. Wird jedoch eine Schwachstelle von Adobe oder Java VM ausgenutzt, so wäre dies für den Angreifer über den zweiten Exploit in Adobe oder Java möglich. Realistische Szenarien sind in jedem Fall möglich.
Ohne administrative Rechte ist es möglich mittels der Attacke ein installiertes AV-System zum Absturz zu bringen (ähnlich einer Denial of Service Attacke), auch wenn das nur mit Administrator-Konten der Fall sein sollte. Mehr davon auf Matousec.com
Alexander Tsolkas
