Weitverbreitete Antiviren-Software ließ sich als Wiper missbrauchen. Dadurch konnten Angreifer mitunter wichtige Systemdateien löschen.
Ein Sicherheitsforscher hat einen Weg gefunden, um gängige Antiviren-Software als Wiper zu missbrauchen. Dieser ermöglicht es Angreifern mitunter, wichtige Systemdateien zu löschen. Auch häufig genutzte Sicherheitslösungen von Microsoft, Avast und AVG waren anfällig für die Schwachstelle.
Antiviren-Software als Wiper missbraucht
Cyberkriminelle greifen hin und wieder auf sogenannte Wiper zurück. Dabei handelt es sich um einen speziellen Typ von Malware, der es erlaubt, Daten auf kompromittierten Systemen zu löschen oder zu beschädigen. Zugleich können Angreifer damit durch ein Überschreiben der von den Daten genutzten Speicherbereiche verhindern, dass sich diese wiederherstellen lassen.
Doch es gibt noch andere Tools, die auf so ziemlich jedem erdenklichen Anwender-System zugegen sind, die Dateien ebenso zuverlässig beseitigen können. So fand ein Sicherheitsforscher von SafeBreach einen Weg, gängige Endpoint Detection and Response- (EDR) und Antiviren-Software (AV) für diesen Zweck zu missbrauchen.
Die Sicherheitslösungen von Microsoft, SentinelOne, TrendMicro, Avast und AVG bieten einen sogenannten „Echtzeitschutz„, der im Hintergrund ständig nach bösartigen Dateien Ausschau hält. Findet er eine, so löscht er sie, damit sie keinen weiteren Schaden auf dem System anrichten kann.
Wie BleepingComputer berichtet, hatte der Forscher die Idee, in diesen Prozess einzugreifen. Indem er zwischen der Erkennung und dem Löschvorgang Änderungen herbeiführt, wollte er die Aufmerksamkeit der Antiviren-Software auf einen anderen Pfad umlenken.
Ein Angriff auf wichtige Systemdateien
So benannte der Sicherheitsforscher eine unter dem Namen „Mimikatz“ bekannte Schadsoftware, die alle Sicherheitslösungen zuverlässig erkennen, um und speicherte sie unter dem Pfad „C:\temp\Windows\System32\drivers\ndis.sys„.
Damit die Antiviren-Software die Datei nicht unmittelbar löschen konnte, hielt er den Handle fest. Oder mit anderen Worten: Er hielt sie geöffnet, sodass andere Programme keine Änderung daran vornehmen konnten.
Daraufhin fordert die jeweilige Antiviren-Software den Benutzer zu einem Neustart des Systems auf. Dieser gibt schließlich den Handle frei, sodass der Löschvorgang erfolgen kann. Der Befehl dafür wird unter einem Registrierungswert mit der Bezeichnung PendingFileRenameOperations abgelegt.
Doch wie der Forscher anmerkt, löscht Windows die Datei nach dem Neustart „blind„. Eine erneute Prüfung findet demnach nicht statt. Das System folgt einfach „blindlings den Abzweigungen„.
Somit war es möglich, vor dem Neustart das Verzeichnis „C:\temp“ zu löschen und eine Verknüpfung von „C:\temp“ auf „C:\“ zu erstellen. Dies hatte schließlich zur Folge, dass nach einem Reboot die Systemdatei „C:\Windows\System32\drivers\ndis.sys“ entfernt wurde.
Dadurch ließ sich die Antiviren-Software also missbrauchen, um einen immensen Schaden auf einem Zielsystem anzurichten. Der Vorgang erlaubt es Angreifern, Dateien zu löschen, für die der Benutzer des Systems eigentlich gar keine Änderungsrechte besitzt.
Auch Antiviren-Software von Microsoft, Avast und AVG betroffen
Seine Erkenntnisse ließ der Sicherheitsforscher in ein Wiper-Tool fließen, das er „Aikido Wiper“ nannte. Tests mit 11 verschiedenen Sicherheitslösungen zeigten, dass weitverbreitete EDR- und Antiviren-Software wie Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus und AVG Antivirus anfällig waren.
Nachdem der Forscher die betroffenen Hersteller zwischen Juli und August 2022 über die Schwachstelle informierte, haben inzwischen alle entsprechende Korrekturen veröffentlicht. Ein Update auf die neuste Version der jeweiligen Software ist also empfehlenswert.
Die Sicherheitslösungen von Palo Alto, Cylance, CrowdStrike, McAfee und BitDefender waren von dem Problem nicht betroffen.
