Thema: Virenscanner aus dem Tritt gebracht ...

[SiLæncer]

Verschiedene Virenscanner von möglichem Sicherheitsrisiko betroffen

Durch eine leichte Modifikation von ZIP-Archiven lassen sich Virenscanner auf einfache Weise überlisten, fanden die Sicherheitsexperten von iDefense heraus. Durch eine Veränderung des ZIP-Headers können Würmer an Virenscannern vorbei geschleust werden und so möglicherweise vermeintlich gesicherte Systeme infizieren.

Nach den Erkenntnissen von iDefense lassen sich die Virenscanner von Computer Associates, Eset, Kaspersky, McAfee, RAV sowie Sophos überlisten, indem die Header-Informationen von ZIP-Archiven leicht verändert werden. Derartige Modifikationen schränken den Einsatz der ZIP-Archive nicht ein, so dass diese weiterhin geöffnet und darin enthaltene Dateien entpackt werden können. Dadurch könnten sich Würmer oder Viren in ZIP-Archiven verstecken, die zunächst vom Virenscanner nicht erkannt werden. Erst, wenn der Wurm oder Virus aktiviert wird, erkennen die betreffenden Virenscanner einen Unhold, wenn die Überprüfung beim Öffnen von Dateien im Scanner aktiviert ist.

Nach Angaben von iDefense sind die aktuellen Versionen der Virenscanner von Bitdefender, Panda, Trend Micro und Symantec nicht von diesem Problem betroffen. Sowohl Computer Associates als auch Eset und McAfee bieten bereits Updates für ihre Virenscanner an, um dieses Problem im Vorfeld zu unterbinden. Kaspersky plant ein entsprechendes Update, während von RAV und Sophos bislang keine Antworten vorliegen.

Quelle : www.golem.de

[SiLæncer]

Die Sicherheitsfirma Armorize berichtet in ihrem Blog von einem raffinierten Exploit, der beim Besuch einer Website den Rechner mit Schad-Software infizierte. Offenbar haben Kriminelle unter anderem auf den Webseiten Menschrechtsorganisation Amnesty International einen so genannten Drive by Download platziert.

Viele Verhaltenswächter erkennen mittlerweile Drive-
by-Downloads.

Der Exploit nutzte laut Armorize eine Sicherheitslücke in Flash aus, die Adobe erst vor einigen Tagen durch einen Notfall-Patch beseitigt hatte. Das besondere war die Art und Weise, wie die Kriminellen diese Lücke ausnutzten. Durch das Sicherheitsloch konnten sie eigenen Code in den Flash-Player einschleusen und ausführen. Typischerweise lädt dieser so genannte Shellcode dann von einem anderen Server über die Funktion URLDownloadToFile() das eigentliche Spionageprogramm herunter und startet es. Da Browser diese Funktion selbst eher selten verwenden, schöpft die Heuristik oder Verhaltensüberwachung moderner Antiviren-Software bei derartigen Aktivitäten häufig Verdacht und kann im Zweifelsfall sogar einschreiten, bevor es zu einer Infektion kommt.

Deshalb setzten die Kriminellen einen Trick ein. Sie betteten das Spionageprogramm über ein Script-Tag als vorgebliche JavaScript-Datei in eine Web-Seite ein. Damit lud der Browser die Datei herunter, speicherte sie in seinem Cache und versuchte dann, sie auszuführen. Das scheiterte zwar, weil es sich nicht um JavaScript sondern um ein ausführbares Wind32-Programm handelte – aber das war egal. Denn nun konnte der via Flash gestartete Shellcode ganz ohne Download einfach auf der Festplatte im Browser-Cache nach der Datei suchen und sie von dort starten ausführen.

Laut Armorize hatte der Trick durchschlagenden Erfolg. Obwohl die Flash-Lücke bereits bekannt ist, erkannte von 42 Virenscanner kein einziger mehr die bösartige Flash-Datei mehr als Sicherheitsrisiko. Der Blog-Eintrag von Armorize enthält weitere Details, aber auch Exploit-Code, was dazu führen kann, dass Virenwächter Alarm schlagen.

Quelle : www.heise.de

[SiLæncer]

Die Antivirenexperten von G Data haben einen Bot gesichtet, der mit einem perfiden Trick versucht, den Virenscanner kalt zu stellen: Er zeigt eine gefälschte Windows-Fehlermeldung an, um sich Admin-Rechte zu erschleichen.

Laut der gefälschten Fehlermeldung ist ein kritischer Festplattenfehler aufgetreten; ausgerechnet im Ordner "Eigene Dokumente" soll ein Datenverlust drohen. Klickt der Nutzer auf "Dateien wiederherstellen", erscheint ein Dialog der Benutzerkontensteuerung (UAC) – der ist allerdings echt. Wer diesen in dem Glauben, dass dadurch eine Datenrettung angestoßen wird, abnickt, verleiht dem Bot Admin-Rechte. Diese benötigt er, um die Virenschutzsoftware abzuschalten.

Erkennen kann man die durch vom Bot initiierten UAC-Abfragen bestenfalls auf den zweiten Blick: Der Prozess, der nach den Admin-Rechten fragt, ist der Windows-Befehlsprozessor (cmd.exe), der auch tatsächlich von Microsoft signiert ist. Klickt man in dem Abfragefenster auf "Details anzeigen", entdeckt man einige ungewöhnliche Parameter.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Werden die Wächter selber angegriffen, haben sie dem oft wenig entgegenzusetzen. Und Fehler, die einen solchen Angriff ermöglichen, gibt es nach wie vor zu Hauf, bilanziert ein Sicherheitsforscher seine Analyse von 17 Antiviren-Programmen.

Antiviren-Software soll die Sicherheit erhöhen – trägt aber mitunter auch wesentlich dazu bei, dass ein System erst angreifbar ist, bilanziert Joxean Koret in seinem Vortrag Breaking Antivirus Software (PDF) auf der Syscan-360-Konferenz. Koret hat 17 Antiviren-Programme untersucht und in 14 davon teilweise kritische Sicherheitslücken entdeckt. Als besonders fehlerhaft hob er Bitdefender hervor, dessen Engine unter anderem auch G Data und F-Secure einsetzen; aber auch bei Aviram AVG, Avast, Panda lokalisierte er kritische Fehler.

Erschwerend hinzu kommt, dass alle AV-Programme mit hohen Systemrechten laufen und teilweise auch Schutzmechanismen des Betriebssystems außer Kraft setzen. So würde kaum ein AV-Produkt alle Komponenten mit der Speicherverwürfelung ASLR ausliefern. Außerdem setzen sie keine Sandbox ein, wie es im Browser oder PDF-Viewern mittlerweile üblich sei. Ein in Antiviren-Software gefundener Fehler ließe sich viel einfacher ausnutzen als in einem Browser, so Korets vernichtendes Urteil.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Mehrere Antiviren-Anwendungen von BullGuard und Panda weisen eine Sicherheitslücke auf, über die Angreifer die Schutzfunktionen deaktivieren können.

Verschiedene Antiviren-Programme von BullGuard und Panda für Windows-Computer sind über den gleichen Angriffsweg verwundbar, Angreifer können die Anwendungen stilllegen. Die Schwachstelle entdeckte der Sicherheitsforscher Matthias Deeg von der SySS GmbH bereits im März dieses Jahres. Deeg zufolge hat Panda die Lücke noch nicht geschlossen. BullGuard soll aktuell an einem Patch arbeiten.

Die Schwachstelle schlummert Deeg zufolge in der Passwort-Abfrage der Anwendungen. Selbst ein Nutzer mit nur eingeschränkten Rechten könne die Abfrage umgehen und hat so Zugriff auf die Einstellungen. An dieser Stelle befindet sich auch die Option zur Deaktivierung der Schutzfunktionen.

Um die Passwort-Abfrage auszuhebeln hat Deeg mit einem selbst entwickelten Tool laufende Instanzen der Sicherheits-Anwendungen manipuliert. Dabei patchte er die Routine zum Abgleich des eingetippten Passworts und konnte sich anschließend mit einem willkürlich gewählten Passwort Zugang zu den Optionen verschaffen. Mit dieser Methode konnte Deeg zudem das korrekte Passwort im Klartext einsehen.

Seinen Angaben zufolge sei der Prozess auch automatisierbar. Demnach wäre es vorstellbar, dass ein einmal gestarteter Trojaner die Schutz-Software deaktiviert.

Quelle : www.heise.de