X

Warnung vor "DoubleAgent": Anti-Viren-Apps werden zu Virenschleudern

Das Sicherheits-Unternehmen Cybellum hat eine Zero-Day-Schwachstelle in Windows gefunden, die laut dem derzeitigen Wissensstand alle Windows-Versionen ab Windows XP bedroht. Das BSI warnt jetzt offiziell vor der Sicherheitslücke, die sich ein Feature im Microsoft Application Verifier zu Nutze macht.
FBI
22.03.2017  21:19 Uhr
Die Sicherheitslücke ermöglicht es einem potentiellen Angreifer, Anti-Virenprogramme zu überlisten und diese für die Einschleusung von Schadcode zu nutzen, schreibt The Hacker News über die Entdeckung. Cybellum nennt das Proof-of-Concept daher passenderweise DoubleAgent, zu Deutsch Doppelagent. Die laut BSI gravierende Sicherheitslücke in Microsoft Windows ist eigentlich ein gewolltes Feature und keine Sicherheitslücke im eigentlichen Sinne. Durch ihre logische Konstruktion kann sie aber zu Cyber-Angriffen genutzt werden; einen einfachen Patch kann es für diese offenstehende Hintertüre daher nicht geben.
Diese Features sollen Windows 10 zum "sichersten Windows" machen
videoplayer00:47

Dynamic Link Library

Cybellum nennt DoubleAgent daher auch eine unpatchbare Bedrohung, die Schutzprogramme zu Virenschleudern werden lässt. Ob diese Hintertür im System bereits aktiv ausgenutzt wird, ist nicht bekannt. Der eigentliche Kern der Sicherheitslücke ist der Umgang des Microsoft Application Verifiers mit der Dynamic Link Library. Ein Angreifer kann eine manipulierte .DLL-Datei so nutzen, dass sie das Programm kompromittiert und vollständigen Zugriff auf das fremde System ermöglicht.

Betroffene Programme

Klar ist aber, dass sich das Problem nun auf zahlreiche Programme zum Schutz vor Schadsoftware auswirkt. Angreifer erhalten die Möglichkeit, fremde Systeme dauerhaft unter ihre vollständige Kontrolle zu bringen. Zu den betroffenen Programmen zählen laut BSI die verbreitetsten Antivirus-Programme, die eigentlich zum Schutz vor derartigen Bedrohungen gedacht sind:

  • Avast Antivirus Free bis einschließlich 12.3
  • Avast Antivirus Pro bis einschließlich 12.3
  • Avast Internet Security bis einschließlich 12.3
  • Avast Premier bis einschließlich 12.3
  • AVG Anti-Virus bis einschließlich 17.1 FREE
  • AVG Internet Security bis einschließlich 17.1
  • AVG Ultimate bis einschließlich 17.1
  • Avira Free Security Suite bis einschließlich 15.0
  • Avira Internet Security Suite bis einschließlich 15.0
  • Avira Optimization Suite bis einschließlich 15.0
  • Avira Total Security Suite bis einschließlich 15.0
  • Bitdefender Antivirus Plus bis einschließlich 12.0
  • Bitdefender Internet Security bis einschließlich 12.0
  • Bitdefender Total Security bis einschließlich 12.0
  • Trend Micro Antivirus+ Security bis einschließlich 11.0
  • Trend Micro Internet Security bis einschließlich 11.0
  • Trend Micro Maximum Security bis einschließlich 11.0
  • Comodo bis einschließlich (nicht angegeben)
  • ESET bis einschließlich (nicht angegeben)
  • F-Secure bis einschließlich (nicht angegeben)
  • Kaspersky bis einschließlich (nicht angegeben)
  • Malwarebytes bis einschließlich (nicht angegeben)
  • McAfee bis einschließlich (nicht angegeben)
  • Panda bis einschließlich (nicht angegeben)
  • Quick Heal bis einschließlich (nicht angegeben)
  • Norton bis einschließlich (nicht angegeben)

Sicherheitsupdates sind aktuell noch nicht verfügbar. Einen gewissen Schutz gegen solche Angriffe scheint bisher lediglich der Windows Defender implementiert zu haben, der von Microsoft in Windows 8.1 eingeführt wurde.

Update 23. März 2018: Der Anti-Viren-Anbieter Kaspersky Lab hat über seinen Support (Danke an WinFuture-Leser wertzuiop123 für den Hinweis.) ausrichten lassen, dass man seit gestern auf dieses "Malware-Szenario" reagiert und es in allen seinen Produkten erkennen und blocken kann.

Windows 10 Creators Update Alles zum neuen Game Mode
Windows 10 SB-/OEM-Lizenzen im Preisvergleich:
< Zurück Startseite
 
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2023 WinFuture