Warnung vor "DoubleAgent": Anti-Viren-Apps werden zu Virenschleudern

Das Sicherheits-Unternehmen Cybellum hat eine Zero-Day-Schwachstelle in Windows gefunden, die laut dem derzeitigen Wissensstand alle Windows-Versionen ab Windows XP bedroht. Das BSI warnt jetzt offiziell vor der Sicherheitslücke, die sich ein ... mehr... Polizei, Kriminalität, Fbi, Agent Bildquelle: FBI Polizei, Kriminalität, Fbi, Agent Polizei, Kriminalität, Fbi, Agent FBI

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wie reagiert der Windows Defender?
 
@regulator: unbeeindruckt
 
@regulator: Ich zitiere mal
"Antivirus processes can be created as "Protected Processes" and the protected process infrastructure only allows trusted, signed code to load and has built-in defense against code injection attacks. [...] Currently no antivirus (except Windows Defender) has implemented this design. Even though Microsoft made this design available more than 3 years ago."

Also im wesentlichen kann man die obige auflistung gleich über board werfen und sie ist nur dafür da populäre namen da stehen zu haben...wobei ich die "lücke" als solches wenig dramatisch finde, siehe https://winfuture.de/comments/thread/#2993689,2993689
 
@0711: aber schön, dass wenigstens der Defender die Sicherheitsfunktionen des Systems auch nutzt. Dass stattdessen nachinstallierte AV-Software die Sicherheit des Systems gefährdet ist ja nicht neu. Auch wenn viele Leute weiterhin lieber den Werbeversprechen glauben.
 
@0711: Danke für das Zitat. Ich empfehle auch jedem, auf den Defender zu setzen, besonders denjenigen, "die sich damit nicht auskennen", denn der Defender läuft still im Hintergrund ohne mit irgendwelchen Meldungen zu nerven. Wie oft habe ich bereits Menschen gesehen, bei denen ständig ein Fenster aufklappt und sie darauf hinweist, dass ihre Virensignaturen nicht mehr aktuell sind und dann von den Betroffenen einfach weggeklickt werden. Da ist es ein Segen, dass sich der Defender über Windows Update aktualisiert.
 
Mein Reden. Anti-Virenprogramme öffnen mehr Zugriffe auf Schwachstellen, als dass sie sinnvoll schützen. Das gleiche gilt für Software-Firewalls.
 
@wingrill9: Da du hier nur schreibst, hörst du dich wohl gerne selber (Unfug) reden ? *fg
 
@DerTigga: es ist kein Unfug. Diese Antivirensuiten werden immer mehr mit tuneups gekoppelt.. und was diese anrichten sehen wir immer wieder.. wenn du abnehmen willst schneidest du dir auch nicht ein Bein ab um weniger zu wiegen. Genau das machen diese Dinger aber. Zusätzlich dazu verlassen sich viele auf diese scans von irgendwelchen Programmen, vergessen aber brain.exe vorher zu starten.
 
@kemo159: Es zwingt einen doch keiner, die brain.exe dafür zu benutzen, (k)eine der obig gelisteten Suiten zu benutzen ? Oder übersehe ich da deiner Meinung nach was, was mich dran hindern könnte, mir eine ungelistete und / oder minimalistischerere "Lösung" zu suchen ?
Denn genau das, zu behaupten, geht nicht anders, weil finde ich nicht (wegen hab insgeheim keinen Bock auf suchen und Try&Error) ist das Problem, denn daraus einen Vollverzicht zu stricken UND den als Nonplusultra zu kolportieren, ist der 'Unfug' dabei. Kanonen auf Spatzen Aktion.
Aber wer weiß, evt. müssen gewisse Antivir Hersteller demnächst BaldrianTabs in ihre Verkaufspackungen legen, damit gewisse brain.exe nicht ruckzuck und überfordert abschalten, angesichts der Tatsache, das installieren und das wars, völlig konfigurationslos geht das PC Leben weiter, heutzutage einfach nichtmehr funtzt ?
 
@DerTigga: ich selbst empfehle meinen Kunden Kaspersky und laufe damit gut. Daheim jedoch ausschließlich brain.exe. ca 1 Mal im Monat lasse ich zur Sicherheit nochmal eine. LiveCD laufen zum testen.. auch von. Kaspersky ( ja es updated sich selbst beim Start). Bisher aber keinerlei Funde.
 
@DerTigga: ich möchte mal behaupten, dass die Liste unvollständig ist.
Wenn TrendMicro betroffen ist und Worry Free Business nicht dabei ist würde ich mal vermuten, dass die es damit nur noch nicht getestet haben - und so sieht es vielleicht dann bei allen nicht gelisteten Virenscannern auch aus - es fehlt eindeutig eine Liste in der drin steht bei welchen Anwendungen es eben nicht geht.
 
@otzepo: Grundsätzlich hast du gut möglich recht mit deiner Vermutung. Ich würde da aber die Frage aufwerfen, inwieweit man sich um deren Vervollständigung kümmern sollte, wo doch der Auslöser des ganzen bzw. das Kernproblem eine wohl nur schwer zu schließende Windowslücke ist.
Sofern sich nicht noch was anderes herausstellt, sogar eine, die sich quer durch die Windowsbank zieht.
In meinen Augen hat da jedenfalls eindeutig Microsoft den schwarzen Peter, schnellstmöglich für besseren Schutz zu sorgen und erst in zweiter Reihe diverse Antivir(suite)hersteller ? Mit etwas bösen Willen könnte man die News fast als Augenwischerei bezeichnen, das das Leserhirn ab bzw. hingelenkt wird, zu den diversen Antivir-Herstellern ? ;-)
 
@DerTigga: Ein Downgrade auf Windows 2000 halte ich da für die sinnvollste Lösung. :D
Der Application Verifier braucht ja schon mal Admin-Rechte, die hier beschriebene Schwachstelle ist vielleicht auch einfach an den Haaren herbei gezogen. Es geht, so wie ich es verstehe, nur darum, dass die Antivirenprogramme erhöhte Privilegien haben und es sich daher lohnt dort eine DLL unterzujubeln. Das gleiche könnte ich aber auch mit einer System-DLL machen - der Virenscanner ist gar nicht die Schwachstelle sondern es ist einfach nur eine Möglichkeit DLLs mit dem Application Verifier zu tauschen, wenn man einem Schadprogramm Zugriff darauf gibt (es mit erhöhten Privilegien startet).
Vielleicht verstehe ich es aber auch falsch.
 
@kemo159: Keine Funde von ein und dem selben Anbieter? Coole Idee. Ich nutze lieber c't Desinfect und lasse einige Scanner drüber jagen. Wenn von denen allen keiner was findet, bin ich beruhigt.
 
@SunnyMarx: kav + heuristic an sollte ausreichen. Nichts geht über brain.exe
 
@kemo159: Wenn KAV schon im livebetrieb nichts erkennt, dann ist die Chance auch recht gering das es im offlinemodus was findet...letztlich ist heuristic löchrig und die Definitionen welche die Erkennung sicherstellen dieselbe

Deshalb hat sunnymarx scho nrecht, dein vorgehen ergibt nicht sonderlich viel sinn
 
@DerTigga: Der schwarze Peter ist sicher nicht bei MS zu suchen, MS hat bereits für alles gesorgt...die AV Industrie nutzt es nur nicht
"Antivirus processes can be created as "Protected Processes" and the protected process infrastructure only allows trusted, signed code to load and has built-in defense against code injection attacks. [...] Currently no antivirus (except Windows Defender) has implemented this design. Even though Microsoft made this design available more than 3 years ago."
 
@0711: siehe 07-->re: 1
Denn genau davon, das diese Möglichkeit kostenlos oder überhaupt "erlaubt" ist, steht in deinem Beitrag nichts.
 
@kemo159: brain.exe hilft aber kaum bei Drive By Downloads etc
 
@DeepBlue: wo findet man driveBy Downloads ? Richtig.. zu 99% auf illegalen Seiten. Selbst schuld !
 
@0711: Isolation funktioniert in 2 Richtungen. Auch ein AV kann isoliert werden und bemerkt nicht was die bösen Jungs treiben.
 
@kemo159: http://www.networkworld.com/article/3183587/security/double-agent-attack-can-turn-antivirus-into-malware.html

kaspersky hats bereits gepatcht
 
@kemo159: Drive by Downloads können von jeder Beliebigen Seite sein, da jede Seite geknackt und anschließend Schadcode eingeschleust werden kann.
 
@kemo159: Du bist komplett ungeschützt gegen Drive-by-exploits, die von beliebigen Seiten kommen können. Es hilft Dir nicht, wenn Dein Rechner immer schnell gepatcht wird. Viele Server sind schlecht gepatcht. https://winfuture.de/news,95898.html oder https://www.heise.de/security/meldung/Jetzt-patchen-Angriffe-auf-ueber-30-000-Joomla-Webseiten-3454720.html
 
@Nunk-Junge: wodurch kann kommt ein driveBy Download ? Meistens durch Java oder Flash. Beides in Chrome virtualisiert und nicht von Oracle /Adobe ..
 
@wertzuiop123: Kaspersky ist einfach nice.
 
@kemo159: Brain.exe hat einem in den 90ern zahlreiche Viren eingehandelt, als Viren noch richtige Viren waren. Diskette eines Kumpels eingelegt, der ein Dokument ausgedruckt haben wollte, schon schrie das Antivirenprogramm auf! Und auch heute schützt das Antivirenprogramm vor bekannten Schädlingen. Und bei unbekannten Schädlingen ist die Heuristic am Zuge. Die Chance eher gering, aber dennoch besser, als jeden Mist zu Virustotal hoch zuladen. Und dein Argument "es geht nichts über brain.exe" wird auch nicht zutreffender, wenn Du es tausend mal in einen Post packst!
 
@kemo159: Das ist aber nicht das Problem um das es beim "double agent" geht
 
@SunnyMarx:les Mal weiter oben. Ich sagte bereits das ich Kaspersky benutze. Dennoch zeigen die Ergebnisse meines Rechners, das brain.exe bei mir zumindest perfekt läuft.
 
Habe ich da was übersehen, oder steht in dem Artikel nicht wie der Schädling auf den Rechner kommt?
 
@Johnny Trash: wie sämtliche andere Schädlinge auch : durch Profi Daus und der unpatchbaren Sicherheitslücke namens "User"
 
@kemo159: Du tust so als wärst du allwissend in Sachen Security und jeder der nicht 100% über (neue) infektionswege bescheid weiß ist direkt ein Dau. Die Zeiten und Wege ändern sich laufend und wenn du mal googlest mit dem Begriff DoubleAgent wirs du schnell sehen das viele verunsichert sind auf eine Lösung hoffen. Ich denke nicht das es alles Daus sind.
 
@Zwerg7: der Artikel ist über Double Agent. Es ist letztlich immer die Fresse vor dem Bildschirm schuld. Sei es durch ein driveBy Download weil man auf kinox sich den neusten Kinofilm anschauen will und auf die flashplayerwerbung klickt (omfg!) Oder weil man sich irgendwelche Kostenlosen Programme runterlädt und dann auf weiter weiter weiter klickt ohne zu lesen was dort steht.. achja und dann sind noch da die Downloads aus dem Internet über bestimmte Portale weil man die Entwickler nicht unterstützen möchte, aber trotzdem das neuste Spiel will. Geh einfach nicht auf solche drecksseiten, halt dein Java und deine browser aktuell ( am besten Google Chrome) und lad dir nicht irgendwelche kostenlose Müllsoftware runter... Und wenn dann immer vom Hersteller direkt und nicht mit irgendwelchen Downloadhelfern wie Chip.de oder softonic und wie sie alle heißen.
 
@kemo159: Also in weitesten Teilen Selbstverständlichkeiten und noch nicht unter brain.exe fallend.
Wenn du nun noch darlegen würdest, wieso du Microsofts Schuld am zustande kommmen können von obiger News so völlig unter den Tisch fallen lässt..
 
@kemo159: Kennst dich aber gut aus ;). Ich rede ja auch nicht von offensichtlichen Dingen, wie viele von dir genannten. Da sollte man schon Vorsicht walten lassen und so unbekannt sind diese Methoden ja auch nicht, sodass ein Großteil um die Gefahren wissen sollte (Theorie & Praxis - ich weiss). Ein DoubleAgent allerdings und um den gehts ja hier, fällt nicht unter die von dir genannten Sachen.
 
@DerTigga: ich behaupte nicht, dass Microsoft dort ein gutes Ding geleistet hat. Ich habe bereits bei Windows Vista und dem Protected Kernel gezeigt wie unprotected der ist. Und warum das jetzt erst bekannt wurde ist mir ebenfalls ein Rätsel, da das Schlupfloch schon Ewigkeiten ausgenutzt wird.
 
Es ist besorgniserregend, wenn die eigentliche Ursache und der dafür Schuldige, hinter einer "Nebelkerze" Drittprogramme versteckt wird!
Denn diese Lücke beeinflusst zwar peripher Drittanbieter Programme, und damit auch Sicherheitsprogramme, ist aber auch ohne diese Aktiv nutzbar, was heißt das die teilweise favorisierte brain.exe keinen Einfluss auf die Umsetzung (mögliche System kompromittierung) hat.

Idealer Weise können nun Drittprogramhersteller ihre Software gegen den möglichen Angriff Härten, das gilt dann aber für alle, nicht nur für Sicherheits-Software-Anbeter.

Der der die Lücke zu verantworten hat, ist aber in der Pflicht, die Möglichkeit des Ausnutzens bei weiterbestehen der Lücke auszuschließen, oder aber die Lücke an sich zu schließen!

"DoubleAgent gives the attacker the ability to inject any DLL into any process. The code injection occurs extremely early during the victim's process boot, giving the attacker full control over the process and no way for the process to protect itself."
 
Bevor man sich auf eine Seite schlägt sollte man mal die Umstände ansehen wo noch Aussagen von Microsoft dazu kommen. Microsoft hat es immer geärgert das Antivirenprogramme oft verhindern das Micro vollen Zugriff auf den Rechner hat. Das der Defender seit so vielen Jahren es nicht geschafft hat annähernde an gute Antivirenprogramme ranzukommen hat schon sein Grund.
Das jetzt, in der Zeit der Verdummung um Vollkonsum zu haben, das Micro so arbeitet wie jetzt, ist klar.
 
Verstehe ich das richtig?
Es geht um dll Registrierungen welche man nur mit administrativen rechten ausführen kann? Sprich ein administrativer user muss ein programm ausführen bzw die dll selbst registrieren?
https://cybellum.com/doubleagentzero-day-code-injection-and-persistence-technique/

Was wird denn da bitte für ein wind gemacht? Wenn ich was mit administrativen rechten rennen lassen kann, kann ich auch einfach den av service beenden

Nebenbemerkung, MS hat für AV Software bereits eine lösung in Windows implementiert die diese art der code injections erschwert und auch signierte dlls als absolute grund Voraussetzung hat, das die av Industrie sich das nicht zu nutze macht ist deren versagen
 
@0711: Zwischen etwas rennen lassen können und es dürfen könnte es Distanzen geben ? Zwischen eine Zugriffsmöglichkeit bzw. Schnittstelle kennen und die Erlaubnis von Microsoft kriegen, die auch benutzen zu dürfen, könnte es langwierige Verhandlungen oder generelle Absagen geben ?
Wie du weiter oben schon so richtig schreibst: wieso sollte Microsoft nicht die Gelegenheit nutzen, auf die Art (sämtlichen) anderen AV Herstellern eine rein zu würgen, wie "gut" doch der Defender ist ?
 
@DerTigga: Jeder Anbieter kann diese Schnittstelle nutzen, sie ist im MSDN Dokumentiert und erfordert keiner expliziten freigabe...man muss lediglich das zeug von einer anerkannten stelle signieren lassen.

Das habe ich weiter oben nicht geschrieben und ja da frage ich mich warum MS das tun sollte? MS hat sein Forefront Portfolio zusammengeschrumpft auf ein absolutes Minimum und hat hier auch offensichtlich keine Ambitionen hier groß aufzufahren, was würde es ihnen denn auch einbringen? Defender wird mit dem OS "verkauft", wo ist der Mehrwert für MS solch einen schritt zu gehen?

edit
Hier noch die MS Doku dazu
https://msdn.microsoft.com/de-de/library/windows/desktop/dn313124(v=vs.85).aspx

Die AV Hersteller nutzen nur die ihnen gegebene Möglichkeiten nicht und zeigen damit explizit ein Desinteresse ihre Produkte abzusichern
 
@0711: Die Frage die ich da stellen würde, wäre ähnlich gelagert wie das, was Latschuk unter seinem 06 Beitrag schrieb. Das man sich nämlich durchaus fragen sollte, was sich für Microsoft (an anderer Stelle) verbessert, bzw. ungestörter oder erst so richtig klappt, wenn es nurnoch diesen Defender auf dem PC gibt.
 
@DerTigga: MS liefert eine Lösung für anfällige AV Lösungen die immer mal wieder durch derartige Probleme auffallen (wobei es hier gar nicht um eine AV Softwareproblematik geht sondern es betrifft alle Prozesse, egal)

MS liefert für AV Lösungen jedenfalls eine gesonderte Lösung für die sichere Bereitstellung und den betrieb, die AV Branche nutzt das durch die Bank weg nicht, was eher die frage aufkommen lässt ob man einen teil seines Schutzbedarfes in die Hände dieser Branche legen will.
AV Lösungen sind nicht ohne Grund schon länger in diversen kreisen in der Kritik

edit
Latschuks vorwurf das MS sich schon länger daran stört das MS auf Windows vollen zugriff hat kann ich nicht nachvollziehen und hab ich auch noch nie gehört
 
@0711: Du hast dich entweder vertippt oder was nicht richtig gelesen glaube ich. Den Latschuks Beitrag bzw. Vorwurf basiert auf den Verdacht, das MS (erst) durch abschalten / ganz deinstallieren / garnicht erst installieren eines Zweithersteller AV so richtig schön und vollen Zugriff hat / kriegt / herstellen KANN.
Sollte das so sein, dann wäre das ein in meinen Augen sehr plausibler Grund, wieso MS daran interessiert ist, jenen Defender prima dastehen zu lassen und sämtliches Andere als mit nem schweren Makel behaftet aussehen zu lassen..
 
@DerTigga: Und das halte ich für Unsinn...die av Hersteller nutzen mittel und wege die MS zur verfügung gestellt hat um ihre Software im System zu verankern...du glaubst wenn MS hier für sich selbst "einen weg drumrum" bräuchte, in ihrem eigenen System, das sie dazu av lösungen von ihrem System schmeißen müssten? Selten absurdere Gedanken gelesen
 
@0711: Genau dieses Verankern eines Zweitherstellers könnte sich, laut dem was Latschuk schreibt, für und von MS als ziemlicher Bremsklotz oder sogar Totalabwürgen von erwünschten / gewohnten Datenflüssen angesehen werden bzw. sich so ausgewirkt haben.
Sorgt man per obiger News dafür, das es der PC User unter Zähneknirschen oder sogar mit sowas wie "berechtigter" Freude (zugunsten des Defenders) (wieder) rauswirft, schwups ist die störende Staudammmauer weg und MS wieder glücklich ?
Das du das für Unsinn gehalten kriegst, finde wiederum ich absurd.
 
@0711: Es wird verständlicher wenn man die "Ur-Quelle" Liest, es gibt derzeit keinen Schutz gegen diese Form der Infektion, außer das System ist offline und gegen unbefugten zugriff geschützt.

https://cybellum.com/doubleagentzero-day-code-injection-and-persistence-technique/

Diese Lücke bedroht jedes Windows System ab einschließlich XP, selbst dann wenn es "nur" das Blanke Windows ist ohne Drittprogramme.
 
@Kribs: Ich habe (wie du siehst) die Urquelle gelesen und sie erfordert für die Registrierung der bösartigen dll einen Prozess der auf einen Bereich zugreifen muss der nur von Administratoren des Systems oder dem System selbst beschrieben werden darf.

Wenn ich aber eh schon admin/systemrechte auf nem rechner hab, kann ich am System alles manipulieren....egal ob ich nun eine böse dll an ein vermeintlich gutartiges Programm dranhäng oder nicht, wo ist da die weitergehende Gefahr? Wenn jemand bösartiges admin/systemrechte hat dann hat die gute seite schlicht bereits verloren, lange vor der "dll injection"
 
@0711: Lese ich anders, ich kann es nicht ausprobieren, deshalb glaube ich mal lieber vorsichtshalber der Formulierung, die ja Adminrechte impliziert durch die Form und Möglichkeit des Angriffs
"Code Injection
DoubleAgent gives the attacker the ability to inject any DLL into any process. The code injection occurs extremely early during the victim's process boot, giving the attacker full control over the process and no way for the process to protect itself.
The code injection technique is so revolutionary that it's not detected or blocked by any antivirus."

Weiter oben wird in "Overview" auch ausdrücklich deine Intension negiert, durch die Einbeziehung des Admin,
"Every Windows user (SYSTEM/Adminetc.)Every target process, including privileged processes (OS/Antivirus/etc.)"
 
@Kribs: Bei Overview sehe ich das gerade nicht negiert...sie erwähnen nämlich explizit "System + admin" sowie "privileged processes" aber eben keinen "restricted user" oder anderes.

Privileged processes sind eben Prozesse die mit hohen Privilegien rennen wie einem administratorkonto oder systemkonto

Die Bereiche und Funktionen die sie aufrufen sind eben nicht von einem normalen benutzeraccount (nicht mal von einem administratoraccount mit aktiven uac) einfach so beschreibbar...wobei ich von admin + uac generell abrate
 
@0711: Erst beim Neustart, wenn der Kernelmodus in den Usermodus wechselt, wird auch die Kompromittierte DLL >>VOM Betriebssystem<< selbst übertragen und der in dem Moment ungeschützte Privilegierte Prozess überschrieben, selbst dann wenn der Prozess neu installiert wurde, immer und immer wieder.

Frag mich wie man das als Admin verhindern will, darauf hat man keinen Einfluss, jedenfalls such ich nach einer Einflussmöglichkeit, wenigstens den Dienst Microsoft Application Verifier zu deaktivieren.
 
@Kribs: erm kribs wirklich?

Wie kommt es denn dazu das die DLL wärend des Bootvorgangs geladen wird? Einfach nur durch ihre Existenz? Nein eben nicht, sie muss entsprechend verlinkt werden...diese Verlinkung geschieht in einem Bereich der für einen Standarduser nicht beschreibbar ist.

Nun bleiben da als Varianten:
- Ein "privileged" Prozess schreibt an entsprechende Stelle
- Ein User mit administrativen Rechten schreibt an entsprechende Stelle
- Man schreibt über ein Drittsystem an entsprechende stelle (sprich booted in ein anderes System und beschreibt das target System)
Weitere Möglichkeit wäre eine privilege escalation lücke welche einem userprozess administrative rechte verschafft, auch hier hat man schon lange vor der dll injection ein problem

Bei all diesen Varianten kann man auch direkt die ausführbaren Dateien austauschen, alle Daten wegkopieren, das System beliebig manipulieren...da macht diese dll injection geschichte genau gar nichts schlimmer

Die "lücke" ist ein witz
 
Das BSI hat leider Recht das ist Wirklich Quasi Unpatchbar würde Microsoft diese Lücke Schließen durch Entfernen des Features wäre der Aufschrei enorm da mit ziemlicher Sicherheit vieles nicht mehr Funktionieren wird.
Im Prinzip gibt es derzeit nur eine Lösung laut dem Text ist der Defender nicht Betroffen und bleibt derzeit die einzige Alternative bis sich eine Lösung gefunden hat.
Zumindest bis die AV Firmen ihre Software entsprechend Verändert haben !
Erinnern wir uns aber an die letzten notwendigen Patche bei diversen AV Lösungen wird das bestimmt Kostenpflichtig werden.
Sofern die Hersteller es überhaupt für Nötig erachten die Software gegen diese Art der Manipulation abzusichern.
Die scheinbar beste Lösung erscheint mir da zumindest einmal die Woche einen Völligen Offline Scan durchzuführen über Boot CD/USB AV Lösungen oder den Defender mitzubenutzen.
Aber inwieweit der Defender da nicht betroffen ist geht nicht aus dem Text hervor nur das es bisher so scheint das dieser unbeeindruckt ist.
 
@Freddy2712: Verstehe ich dich richtig, das deiner Ansicht nach MS das beseitigen des Kernproblems mindestens schleifen, womöglich ganz sein lassen darf, grade WEIL es "kompliziert" ist ?
Kann ruhig noch ne Weile offen bzw. gar so bleiben wie es ist, denn man kann ja (jede Menge) andere Softwareschmieden dazu verdonnern, gefälligst 'sicher' damit umgehen zu können ? Im Zweifelsfall haben die dieses damit umgehen können sogar schneller hinzukriegen, als das MS sich was fixendes überlegt / überlegen muss ? ;-)
 
@DerTigga: Nein das Problem ist das ein Feature ausgenutzt wird um einen Angriff zu Starten dieses Feature wird aber Aktiv und viel genutzt von Software Herstellern.
Welch ein Schrei der Entrüstung gäbe das wenn nächste Woche ein Notfall Patch da wäre der Win 7+ dieses Feature Entfernt aber dadurch sagen wir mal CAD und SAP Funktionslos werden ?!.
Microsoft könnte natürlich aber da gibt es Abwägungen die Vorrang haben und solange wichtige Software keinen Patch bekommt wieso auch immer ist es für Microsoft ein Fall wo Abgewogen werden muss.
Was ist schlimmer wenn Fremdsoftware wie Norton dadurch umgangen wird oder man von jetzt auf gleich Firmen ihrer Arbeitsgrundlage entzieht weil vielleicht die genutzte Software nicht mehr Funktioniert?.
Die Folge wäre so richtig die Aktion wäre das viele Tausende wohl eher Hunderttausende Rechner ungeschützt im Netz wären weil alle den Update Dienst Deaktivieren würden.
Da man auch nicht damit rechnen kann das Hersteller ihre Software Patchen wir haben es bei den AV Lösungen gesehen die Win8.1 Version wurde bewusst nicht mit Updates Versorgt entsprechende Patche gab es nur gegen Cash.
Und bei der hohen Fragmentierung bei Software weil Version X vielleicht irgendwas anders kann wie Version Y wäre das ein wahrer Super Gau.
 
@Freddy2712: Wieso nimmst du denn so schnell an bzw. stimmst so schnell zu, DAS MS sicher nichts anderes einfallen kann und wird, als DAS die da was tutto kompletto abschalten MÜSSEN ?
 
@DerTigga: Abschalten müssen denke ich nicht nur eine gute Lösung wird länger dauern und eine Deaktivierung ist da schneller und Effektiver.
Wobei sich da ja auch mal die Software Hersteller die auf Features Zugreifen Gedanken machen könnten.
 
@Freddy2712: der skizzierte fall mit den av lösungen ist bereits "gepatcht", die av lösungen nutzen nur die ihnen gegebenen Möglichkeiten nicht...wie so häufig

Im Originaltext steht warum der Defender nicht betroffen ist ;)
 
@0711: OK das zumindest Kaperski einen Patch bekommen hat stand Heute Morgen noch nicht da.
 
@Freddy2712: ich rede nicht von kaspersky, sondern dass MS eine ganz generelle lösung für derartige angriffe hat und jeder av anbieter diese nutzen kann...es nur keiner macht

diese lösung von MS gibt es bereits seit 3 jahren
 
@0711: Sorry die kenne ich nicht kann auch sein das ich das im Text einfach nicht finde sollte das da stehen aber kläre mich bitte auf.
 
@Freddy2712: Ja bei Winfuture bekommst du das nicht zu lesen, in der quelle stehts aber.

Der einfachhalt halber: https://winfuture.de/comments/thread/#2993551,2993692
 
"Ein Angreifer kann eine manipulierte .DLL-Datei so nutzen, dass sie das Programm kompromitiert und vollständigen Zugriff auf das fremde System ermöglicht." Damit hätte ich nun wirklich nicht gerechnet. Kann eine *.dll die eine Schnittstelle für einen möglichen Angriff bietet also tatsächlich dafür verwendet werden? Dann sollte ich wohl aufhören mir *.dll Dateien aus dem Internet direkt unter System32 zu kopieren und mir allen Rechten auszustatten?

Wenn ein DAU *.dll Dateien, von woher auch immer, administrativ mit Rechten versorgt und diese Beispielweise unter System32 ablegt, dann ist also die Erwartungshaltung, dass ein Antivirenprogramm diesen Idioten schützt? Klingt plausibel!
 
@erso: du vergisst etwas, du musst die dll aus dem Internet auch noch mit einer Anwendung verlinken die systemrechte hat damit du in den vollen genuss dieser sagenhaften lücke kommst :)
 
Kaspersky sagt folgendes dazu: "Kaspersky Lab would like to thank Cybellum Technologies LTD for discovering and reporting the vulnerability which made a DLL Hijacking attack possible via an undocumented feature of Microsoft Application Verifier. The detection and blocking of this malicious scenario has been added to all Kaspersky Lab products from March 22, 2017."

Der Artikel wurde geupdated
http://www.networkworld.com/article/3183587/security/double-agent-attack-can-turn-antivirus-into-malware.html
 
Daß unter Windows jeder Nutzer erstmal standardmäßig mit Adminrechten unterwegs ist, bis man das händisch korrigiert, dürfte der Sache dienlich sein.

Ich reg mich auch immer wieder drüber auf, daß es unter Windows Spiele gibt, die ohne Adminrechte nicht laufen wollen. SPIELE! Das einzige, was Adminrechte zu benötigen hat, sind systemrelevante Wartungsarbeiten... aber ganz bestimmt keine Spiele, sowas gehört einfach nur entsorgt.
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles