Schwachstelle macht Antivirus-Programme zu Data Wipers

Ein Sicherheitsforscher hat eine Methode gefunden, Antivirus- und EDR-Programme (Endpoint Detection and Response) zu Data Wipers zu machen. Wipers sind eine besondere Art von Malware, die Daten und Programme löscht oder verändert, sodass User sie nicht wiederherstellen können.

Laut "Bleepingcomputer" entdeckte Or Yair vom israelischen Unternehmen Safe Breach die Schwachstelle, die Software von Microsoft, SentinelOne, TrendMicro, Avast, und AVG betreffen soll. Durch die Nutzung von Security-Software, die bereits auf dem Gerät des Opfers installiert ist, könnten die Angreifer die Abwehr-Systeme umgehen und unbemerkt Daten vernichten, schreibt "Blepingcomputer". 

Antivirus-Programme und EDR-Software scannen den Computer regelmässig nach bösartigen Dateien. Wenn der Echtzeit-Schutz aktiviert ist, löschen die Tools solche Dateien automatisch, wenn diese neu erstellt werden. Erkennung und Löschen der Datei seien zwei separate Schritte, schreibt "Bleepingcomputer" - davon könnten Angreifer Gebrauch machen.

Grätscht ein Angreifer nämlich zwischen die beiden Schritte, kann er diktieren, dass statt der schädlichen Datei eine andere gelöscht wird. Der Forscher von Safe Breach erstellte beispielsweise einen Ordner mit dem Dateipfad C:\temp\Windows\System32\drivers und speicherte dort die Malware "Mimikatz" unter dem Namen "ndis.sys", also dem Namen einer wichtigen Treiberdatei. Das EDR-Programm, in diesem Fall Microsoft Defender, erkannte die schädliche Datei daraufhin als solche. 

Bevor das Programm diese jedoch löschen konnte, löschte Yair den neuen Temp-Ordner, und erstellte eine Verzeichnisverbindung von C:\temp auf C:\Windows. Der Microsoft-Defender sollte so die richtige "ndis.sys"-Datei löschen. 

Im ersten Versuch konnte der Forscher dies nicht erzwingen, da das EDR-Programm den Zugriff auf Dateien verweigert, die es als bösartig identifiziert hat. Im zweiten Anlauf liess er die Datei im Hintergrund geöffnet - und hatte Erfolg damit. Windows erforderte einen Reboot, um die geöffnete Datei zu löschen. Nach dem Reboot folgte das System blind den Verbindungen und wurde dadurch zur Zieldatei geleitet.

Der Analyst verpackte den Exploit schliesslich in ein Wiper-Tool, das er "Aikido Wiper" nannte, so "Bleepingcomputer". Es sei völlig unauffindbar, könne von unprivilegierten Benutzern gestartet werden, um Daten in Admin-Benutzerverzeichnissen zu löschen, und könne das System sogar "unbootbar" machen.

Mehrere namhafte Anbieter betroffen

Yair testete den Exploit laut "Bleepingcomputer" mit 11 Sicherheitstools und stellte fest, dass Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus und AVG Antivirus alle anfällig waren. Palo Alto, Cylance, CrowdStrike, McAfee und BitDefender seien hingegen nicht anfällig.

Die Schwachstelle erhielt bei Microsoft die Bezeichnung CVE-2022-37971, Trend Micro bezeichnet sie als CVE-2022-45797, bei Avast und AVG bekam sie die ID CVE-2022-4173. 

Für die folgenden Programme stehen Patches bereit:

• Microsoft Malware Protection Engine: 1.1.19700.2 oder neuer
• TrendMicro Apex One: Hotfix 23573 & Patch_b11136 oder neuer
• Avast & AVG Antivirus: 22.10 oder neuer

"Bleepingcomputer" rät Nutzerinnen und Nutzer dieser Programme, die Sicherheitsupdates umgehend zu installieren.

Übrigens: Schadsoftware versteckt sich besonders häufig in Archivdateien. Dateiformate wie "Zip" und "Rar" waren gemäss HP im vergangenen Quartal das beliebteste Transportmittel für Malware - mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.