Warnung vor "DoubleAgent": Anti-Viren-Apps werden zu Virenschleudern

Nadine Dressler, 22.03.2017 21:19 Uhr 66 Kommentare
Das Sicherheits-Unternehmen Cybellum hat eine Zero-Day-Schwachstelle in Windows gefunden, die laut dem derzeitigen Wissensstand alle Windows-Versionen ab Windows XP bedroht. Das BSI warnt jetzt offiziell vor der Sicherheitslücke, die sich ein Feature im Microsoft Application Verifier zu Nutze macht. Die Sicherheitslücke ermöglicht es einem potentiellen Angreifer, Anti-Virenprogramme zu überlisten und diese für die Einschleusung von Schadcode zu nutzen, schreibt The Hacker News über die Entdeckung. Cybellum nennt das Proof-of-Concept daher passenderweise DoubleAgent, zu Deutsch Doppelagent. Die laut BSI gravierende Sicherheitslücke in Microsoft Windows ist eigentlich ein gewolltes Feature und keine Sicherheitslücke im eigentlichen Sinne. Durch ihre logische Konstruktion kann sie aber zu Cyber-Angriffen genutzt werden; einen einfachen Patch kann es für diese offenstehende Hintertüre daher nicht geben.

Diese Features sollen Windows 10 zum "sichersten Windows" machen
videoplayer

Dynamic Link Library

Cybellum nennt DoubleAgent daher auch eine unpatchbare Bedrohung, die Schutzprogramme zu Virenschleudern werden lässt. Ob diese Hintertür im System bereits aktiv ausgenutzt wird, ist nicht bekannt. Der eigentliche Kern der Sicherheitslücke ist der Umgang des Microsoft Application Verifiers mit der Dynamic Link Library. Ein Angreifer kann eine manipulierte .DLL-Datei so nutzen, dass sie das Programm kompromittiert und vollständigen Zugriff auf das fremde System ermöglicht.

Betroffene Programme

Klar ist aber, dass sich das Problem nun auf zahlreiche Programme zum Schutz vor Schadsoftware auswirkt. Angreifer erhalten die Möglichkeit, fremde Systeme dauerhaft unter ihre vollständige Kontrolle zu bringen. Zu den betroffenen Programmen zählen laut BSI die verbreitetsten Antivirus-Programme, die eigentlich zum Schutz vor derartigen Bedrohungen gedacht sind:


Sicherheitsupdates sind aktuell noch nicht verfügbar. Einen gewissen Schutz gegen solche Angriffe scheint bisher lediglich der Windows Defender implementiert zu haben, der von Microsoft in Windows 8.1 eingeführt wurde.

Update 23. März 2018: Der Anti-Viren-Anbieter Kaspersky Lab hat über seinen Support (Danke an WinFuture-Leser wertzuiop123 für den Hinweis.) ausrichten lassen, dass man seit gestern auf dieses "Malware-Szenario" reagiert und es in allen seinen Produkten erkennen und blocken kann.

Windows 10 Creators Update Alles zum neuen Game Mode
66 Kommentare lesen & antworten
Folge WinFuture auf Google News
Desktop-Version anzeigen
Hoch © 2022 WinFuture Impressum Datenschutz Cookies