DocD00
08.05.2010, 12:50
IT-Sicherheitsforscher behaupten, einen Angriff entwickelt zu haben, der die meisten populären Virenscanner - darunter Scanner von McAfee, Trend Micro, AVG und BitDefender - umgehen kann.
http://free-hack.com/
http://kapital.gulli.com/www/delivery/avw.php?zoneid=4&cb=INSERT_RANDOM_NUMBER_HERE&n=a9d947c5 (http://kapital.gulli.com/www/delivery/ck.php?n=a9d947c5&cb=INSERT_RANDOM_NUMBER_HERE)
Der Angriff nutzt die Kerneltreiber der Sicherheitssoftware aus. Vereinfacht gesagt funktioniert der Angriff, indem dem Scanner (http://www.gulli.com/news/neuer-angriff-umgeht-fast-alle-virenscanner-2010-05-08#) harmloser Quellcode vorgelegt wird, der dann direkt vor dem Ausführen durch den Schadcode ersetzt wird. Aufgrund des benötigten extrem genauen Timings funktioniert der Angriff am zuverlässigsten auf Multicore-Systemen, da die parallel ablaufenden Threads oftmals nicht miteinander synchronisiert sind.
Anfällig sind alle Produkte, die SSDT- (System Service Descriptor Table-)Kernel-Hooks verwenden. Dies sind fast alle gebräuchlichen Antivirus-Produkte.
Der Angriff funktioniert auch auf Benutzer-Accounts ohne Administrator-Rechte. Er erfordert allerdings das Laden großer Quellcode-Mengen und ist daher umständlich auszuführen, was die Einsatzmöglichkeiten einschränkt. Am effektivsten, so die Einschätzung der Forscher, wäre dieser Angriff in Kombination mit dem Ausnutzen von Sicherheitslücken in anderen Programmen. "Realistisches Szenario: jemand benutzt McAfee oder ein anderes betroffenes Produkt, um seinen Rechner abzusichern. Ein Malware-Entwickler missbraucht diese 'Race Condition (http://exit.gulli.com/url/http://de.wikipedia.org/wiki/Race_Condition)', um die Kernel-Hooks zu umgehen und der Malware zu erlauben, sich selbst zu installieren und McAfee zu deinstallieren. In dem Fall ist der ganze 'Schutz', den das Produkt bietet, im Grunde irrelevant," erklärt H D Moore, CSO des Metasploit-Projekts.
Der komplette Bericht der beteiligten Forscher ist im Internet einsehbar (http://exit.gulli.com/url/http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php).
Quelle: The Register (http://exit.gulli.com/url/http://www.theregister.co.uk/2010/05/07/argument_switch_av_bypass/)
Bild: "Hacker" by Sigmus @ DeviantArt (http://exit.gulli.com/url/http://Sigmus.deviantart.com/art/Hacker-18417605)
Quelle: Gulli.com (http://www.gulli.com/news/neuer-angriff-umgeht-fast-alle-virenscanner-2010-05-08)
MfG, DocD00
http://free-hack.com/
http://kapital.gulli.com/www/delivery/avw.php?zoneid=4&cb=INSERT_RANDOM_NUMBER_HERE&n=a9d947c5 (http://kapital.gulli.com/www/delivery/ck.php?n=a9d947c5&cb=INSERT_RANDOM_NUMBER_HERE)
Der Angriff nutzt die Kerneltreiber der Sicherheitssoftware aus. Vereinfacht gesagt funktioniert der Angriff, indem dem Scanner (http://www.gulli.com/news/neuer-angriff-umgeht-fast-alle-virenscanner-2010-05-08#) harmloser Quellcode vorgelegt wird, der dann direkt vor dem Ausführen durch den Schadcode ersetzt wird. Aufgrund des benötigten extrem genauen Timings funktioniert der Angriff am zuverlässigsten auf Multicore-Systemen, da die parallel ablaufenden Threads oftmals nicht miteinander synchronisiert sind.
Anfällig sind alle Produkte, die SSDT- (System Service Descriptor Table-)Kernel-Hooks verwenden. Dies sind fast alle gebräuchlichen Antivirus-Produkte.
Der Angriff funktioniert auch auf Benutzer-Accounts ohne Administrator-Rechte. Er erfordert allerdings das Laden großer Quellcode-Mengen und ist daher umständlich auszuführen, was die Einsatzmöglichkeiten einschränkt. Am effektivsten, so die Einschätzung der Forscher, wäre dieser Angriff in Kombination mit dem Ausnutzen von Sicherheitslücken in anderen Programmen. "Realistisches Szenario: jemand benutzt McAfee oder ein anderes betroffenes Produkt, um seinen Rechner abzusichern. Ein Malware-Entwickler missbraucht diese 'Race Condition (http://exit.gulli.com/url/http://de.wikipedia.org/wiki/Race_Condition)', um die Kernel-Hooks zu umgehen und der Malware zu erlauben, sich selbst zu installieren und McAfee zu deinstallieren. In dem Fall ist der ganze 'Schutz', den das Produkt bietet, im Grunde irrelevant," erklärt H D Moore, CSO des Metasploit-Projekts.
Der komplette Bericht der beteiligten Forscher ist im Internet einsehbar (http://exit.gulli.com/url/http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php).
Quelle: The Register (http://exit.gulli.com/url/http://www.theregister.co.uk/2010/05/07/argument_switch_av_bypass/)
Bild: "Hacker" by Sigmus @ DeviantArt (http://exit.gulli.com/url/http://Sigmus.deviantart.com/art/Hacker-18417605)
Quelle: Gulli.com (http://www.gulli.com/news/neuer-angriff-umgeht-fast-alle-virenscanner-2010-05-08)
MfG, DocD00