Thema: Neuer Angriff umgeht fast alle Virenscanner

[SiLæncer]

IT-Sicherheitsforscher behaupten, einen Angriff entwickelt zu haben, der die meisten populären Virenscanner - darunter Scanner von McAfee, Trend Micro, AVG und BitDefender - umgehen kann.

Der Angriff nutzt die Kerneltreiber der Sicherheitssoftware aus. Vereinfacht gesagt funktioniert der Angriff, indem dem Scanner harmloser Quellcode vorgelegt wird, der dann direkt vor dem Ausführen durch den Schadcode ersetzt wird. Aufgrund des benötigten extrem genauen Timings funktioniert der Angriff am zuverlässigsten auf Multicore-Systemen, da die parallel ablaufenden Threads oftmals nicht miteinander synchronisiert sind.

Anfällig sind alle Produkte, die SSDT- (System Service Descriptor Table-)Kernel-Hooks verwenden. Dies sind fast alle gebräuchlichen Antivirus-Produkte.

Der Angriff funktioniert auch auf Benutzer-Accounts ohne Administrator-Rechte. Er erfordert allerdings das Laden großer Quellcode-Mengen und ist daher umständlich auszuführen, was die Einsatzmöglichkeiten einschränkt. Am effektivsten, so die Einschätzung der Forscher, wäre dieser Angriff in Kombination mit dem Ausnutzen von Sicherheitslücken in anderen Programmen. "Realistisches Szenario: jemand benutzt McAfee oder ein anderes betroffenes Produkt, um seinen Rechner abzusichern. Ein Malware-Entwickler missbraucht diese 'Race Condition', um die Kernel-Hooks zu umgehen und der Malware zu erlauben, sich selbst zu installieren und McAfee zu deinstallieren. In dem Fall ist der ganze 'Schutz', den das Produkt bietet, im Grunde irrelevant," erklärt H D Moore, CSO des Metasploit-Projekts.

Der komplette Bericht der beteiligten Forscher ist im Internet einsehbar.

Quelle: The Register

[SiLæncer]

Die von Matousec präsentiert KHOBE-Attacke klingt wie das Ende der Anti-Viren-Industrie. Diese allerdings wehrt ab: Zwar würde eine Schutzfunktion ausgehebelt, moderne AV-Software nutzt aber mehrere Ansätze, eine Infektion ist deshalb auch nach einem KHOBE-Angriff unwahrscheinlich.

Verschiedene Hersteller von Anti-Viren-Programmen haben sich zur entdeckten Sicherheitslücke von Matousec geäußert. Die Forscher der Firma hatten ein Proof of Concept veröffentlicht, demnach der Virenschutz der meisten Programme über einen Kernel Hook ausgehebelt werden kann.

Keiner der AV-Hersteller bestreitet die Existenz der Lücke, die Auswirkungen seien aber weniger dramatisch als Matousec angibt. Mikko Hyppönnen von F-Secure teilt im F-Secure Blog mit, dass ein KHOBE-Angriff eine Anti-Viren-Software nicht komplett ausschaltet. Zwar würde die Attacke eine Sicherheitsfunktion umgehen, moderne IT-Sicherheitsprogramme seien aber so ausgelegt, dass sich Schutzfunktionen sich gegenseitig überlappen.

Ähnlich äußern sich Sprecher von Kaspersky gegenüber TecChannel. Die SSDT-Kernel-Hooks werden zwar auch hier genutzt, andere Funktionen, etwa die Sandbox-Umgebung wäre von so einer Attacke nicht betroffen.

Graham Cluley von Sophos erklärt, dass die Malware selbst diesen Angriff nur ausführen kann, wenn sie nicht bereits zuvor an der Sicherheitssoftware vorbeigemogelt hat. Sein Kollege Paul Ducklin hat sich noch weiter mit der KHOBE-Attacke auseinandergesetzt und erläutert seine Erkenntnisse in diesem Blogeintrag. Sophos-Software sei demnach nur betroffen, wenn die Host Intrusion Prevention eingesetzt werde und auf dem Zielsystem Windows XP installiert ist.

Update: Symantec sieht in der Veröffentlichung zwar ebenfalls ein Problem, allerdings springen auch hier weitere Sicherheitsfunktionen ein. Neben dem Intrusion Prevention System wird auch ein Cloud-basiertes Reputationssystem genutzt, um solche Attacken abzublocken.

Quelle : www.tecchannel.de