Sicherheitslücke: Hacker können mit Antiviren-Apps Dateien löschen
Einige Antiviren-Programme können von Hackern missbraucht werden, um beliebige Dateien auf einem fremden Rechner zu löschen. Neben Nutzerdaten lassen sich auch Systemdateien entfernen. Die Sicherheitslücke betrifft unter anderem EDR-Tools von Microsoft und Avast.
Ein Sicherheitsforscher von SafeBreach hat herausgefunden, dass manche Endpoint Detection and Response-Systeme (EDR) und Antiviren-Programme dazu gebracht werden können, Nutzerdaten zu zerstören. Sobald die Anwendungen eine bösartige Datei erkennen, wird sie gelöscht oder in Quarantäne gesteckt. Das ist jedoch nicht möglich, wenn die Datei offengehalten wird. Das EDR-Tool schlägt dem Nutzer einen Neustart vor, damit die Bedrohung entfernt werden kann. Der Befehl zum Löschen der Datei wird als Wert in der Registry abgespeichert, sodass das Betriebssystem die Schadsoftware löschen kann.
Vor dem Neustart kann ein bösartiges Skript den temporären Ordner mit der absichtlich platzierten Bedrohung allerdings selbst löschen und einen Verweis auf ein anderes Verzeichnis setzen. Nach dem Neustart folgt Windows dem Link ohne weitere Prüfung und entfernt eine dort vorhandene Datei mit identischem Namen, obwohl von dieser kein Risiko ausgeht.
Das Verfahren funktioniert in Zusammenhang mit dem Microsoft Defender und den Produkten von SentinelOne, TrendMicro, Avast sowie AVG. Lösungen von Palo Alto, Cylance, CrowdStrike, McAfee und Bitdefender sind nicht betroffen.
Dass die Schwachstelle bereits in der Praxis ausgenutzt wird, dürfte aufgrund des nicht gerade geringen Aufwands relativ unwahrscheinlich sein. Trotzdem besteht die Möglichkeit, dass eine zukünftige Malware die Sicherheitslücke verwendet, um Schaden anzurichten. Da der Bug vor der Veröffentlichung an die Entwickler der Antiviren-Apps gesendet wurde, stehen für die meisten Tools inzwischen Patches zur Verfügung. Sofern die Patches noch nicht automatisch geladen wurden, sollten die Nutzer die Updates schnellstmöglich installieren.
Siehe auch:
Vor dem Neustart kann ein bösartiges Skript den temporären Ordner mit der absichtlich platzierten Bedrohung allerdings selbst löschen und einen Verweis auf ein anderes Verzeichnis setzen. Nach dem Neustart folgt Windows dem Link ohne weitere Prüfung und entfernt eine dort vorhandene Datei mit identischem Namen, obwohl von dieser kein Risiko ausgeht.
Das Verfahren funktioniert in Zusammenhang mit dem Microsoft Defender und den Produkten von SentinelOne, TrendMicro, Avast sowie AVG. Lösungen von Palo Alto, Cylance, CrowdStrike, McAfee und Bitdefender sind nicht betroffen.
Löschung auch ohne Berechtigung
Die zur Löschung vorgesehene Datei wird auch dann entfernt, wenn der Nutzer des Systems eigentlich nicht über die zur Bearbeitung notwendigen Rechte verfügt. Demnach können auch Systemdateien gelöscht und der Rechner hiermit komplett unbrauchbar gemacht werden.Dass die Schwachstelle bereits in der Praxis ausgenutzt wird, dürfte aufgrund des nicht gerade geringen Aufwands relativ unwahrscheinlich sein. Trotzdem besteht die Möglichkeit, dass eine zukünftige Malware die Sicherheitslücke verwendet, um Schaden anzurichten. Da der Bug vor der Veröffentlichung an die Entwickler der Antiviren-Apps gesendet wurde, stehen für die meisten Tools inzwischen Patches zur Verfügung. Sofern die Patches noch nicht automatisch geladen wurden, sollten die Nutzer die Updates schnellstmöglich installieren.
Siehe auch:
Thema:
AVG Ultimate 2022 im Preisvergleich
Neueste AVG-Downloads
Videos zum Thema
-
Super Bowl 2023: CrowdStrike zeigt, wie man echte Trojaner abwehrt
-
Vorsicht vor Windows Toolbox: Malware kommt unerkannt mit
-
Geht immer noch: So kann sich Malware per E-Mail einschleichen
-
Software-Downloads: So schnell kann man sich Malware einfangen
-
Geschickter Android-Trojaner klaut Nutzern via PayPal-App Geld
Beiträge aus dem Forum
Interessante Links
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
- Wer braucht schon Prime: Neue Top-Deals bei Media Markt & Saturn
- Abgeschossener US-Pilot: Iranische Drohnen flogen "Quallen-Formation"
- Gegen US-Zahlungssysteme: Der digitale Euro nimmt wichtige Hürde
- One UI 9: Samsung erweitert interne Tests - diese 22 Geräte sind dabei
- China hat stärksten Supercomputer der Welt, ganz ohne Nvidia und Co.
- Sicherheitsvorfall bei LastPass: Angreifer erbeuten Kundendaten
- Störung im Funk-System der Bahn: Alle Züge standen nachts still
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen