Ein Sicherheitsforscher hat eine gefährliche Schwachstelle in gängiger Antiviren-Software entdeckt. Durch den Missbrauch als Wiper können wichtige Systemdateien gelöscht werden was zu einem immensen Datenverlust führt. Auch bekannte Sicherheitslösungen von Microsoft Avast und AVG waren von der Schwachstelle betroffen.
Was ist ein Wiper?
Cyberkriminelle nutzen manchmal eine spezielle Art von Malware, den sogenannten Wiper um Daten auf kompromittierten Systemen zu löschen oder zu beschädigen. Durch ein Überschreiben der Speicherbereiche die von den Daten genutzt werden, kann eine Wiederherstellung verhindert werden.
Antiviren-Software als Wiper missbraucht
Der Sicherheitsforscher von SafeBreach fand heraus, dass ebenfalls gängige Endpoint Detection and Response- (EDR) und Antiviren-Software (AV) als Wiper missbraucht werden können. Die Sicherheitslösungen von Microsoft SentinelOne TrendMicro, Avast und AVG bieten einen Echtzeitschutz der bösartige Dateien automatisch löscht um weitere Schäden zu verhindern.
Der Forscher griff in diesen Prozess ein, indem er die Sicherheitssoftware auf eine andere Spur lenkte. Er benannte eine Schadsoftware namens "Mimikatz" um und speicherte sie unter dem Pfad "C:\temp\Windows\System32\drivers\ndis.sys". Um zu verhindern, dass die Antiviren-Software die Datei löscht, hielt er den Handle fest und forderte den Benutzer zum Neustart des Systems auf. Nach dem Neustart löschte Windows die Datei automatisch, ohne sie erneut zu prüfen und ohne dass der Benutzer Änderungsrechte hatte.
Welche Antiviren-Software war betroffen?
Tests mit 11 verschiedenen Sicherheitslösungen zeigten, dass weitverbreitete EDR- und Antiviren-Software wie Microsoft Defender Defender for Endpoint SentinelOne EDR, TrendMicro Apex One, Avast Antivirus und AVG Antivirus anfällig waren. Der Sicherheitsforscher informierte die betroffenen Hersteller zwischen Juli und August 2022 über die Schwachstelle und alle haben inzwischen entsprechende Korrekturen veröffentlicht.
Wie kann man sich schützen?
Es wird empfohlen, auf die neueste Version der jeweiligen Software zu aktualisieren. Die Sicherheitslösungen von Palo Alto, Cylance CrowdStrike McAfee und BitDefender waren von dem Problem nicht betroffen und bieten eine sichere Alternative. Essenziell bleibt regelmäßige Backups zu erstellen um im Falle eines Angriffs die verlorenen Daten wiederherstellen zu können. Auch die Schulung der Benutzer über sichere Passwörter und den Umgang mit verdächtigen E-Mails ist von entscheidender Bedeutung um Angriffe zu vermeiden.
Kommentare