Schwere Sicherheitslücke
DoubleAgent: Zero-Day-Attacke bedroht alle Windows-Systeme
Das BSI warnt vor der neuen Zero-Day-Attacke DoubleAgent. Sie macht sogar Antivirus-Software zum Einfallstor für Malware. Betroffen sind alle Windows-Versionen. +++ Update: Stellungnahme von Symantec +++
Die isrealische Sicherheitsfirma Cybellum hat eine "DoubleAgent" getaufte, schwere Windows-Sicherheitslücke entdeckt, die alle Versionen des Betriebssystems von Windows XP bis Windows 10 betrifft. Ziel der Attacke ist ein 15 Jahre altes Windows-Feature, der Microsoft Application Verifier. Dieses Windows-Tool wird eigentlich von Entwicklern genutzt, um .DLL-Bibliotheken testweise für die Fehlersuche in Prozesse zu laden.
Die DoubleAgent-Attacke nutzt nun eine undokumentierte Funktion im Microsoft Application Verifier als Sicherheitslücke aus und schleust eine manipulierte .DLL-Datei ein, die dann in einen laufenden Prozess eines beliebigen Programms injiziert wird. Anschließend kann der Angreifer die volle Kontrolle über das System übernehmen und Backdoors und andere Malware installieren. DoubleAgent ist dabei persistent und kann dadurch Reboots, Updates und Patches überleben.
Die DoubleAgent-Attacke funktioniert theoretisch mit jedem Programm oder auch Windows-Systemprozessen. Laut Cybellum sind folgende Systeme angreifbar:
- Jede Windows-Version (Windows XP bis Windows 10)
- Jede Windows-Architektur (x86 und x64)
- Jeder Windows-Nutzer (Admin, System etc.)
- Jeder Ziel-Prozess, inklusive priviligierte Prozesse (Betriebssystem, Antivirus, etc.)
Antivirus-Software wird zum Einfallstor für Malware
Normalerweise soll Antivirus-Software vor derartigen Attacken schützen. Doch im Fall von DoubleAgent können Angreifer den Spieß umdrehen und volle Kontrolle über das Antivirus-Tool übernehmen. Wie Cybellum erklärt, könnte er so etwa Schadcode ausführen, die Antivirus-Whitelists und - Blacklists manipulieren, den PC in einen DDOS-Bot verwandeln oder gleich das ganze Datensystem zerstören.
Zu Demonstrationszwecken zeigt Cybellum ein Video (siehe Artikelende), in dem DoubleAgent die bekannte Security-Software Norton Antivirus übernimmt und wie eine Ransomware Dateien verschlüsselt. Die Firma veröffentlichte zudem Code auf GitHub, der als Proof-of-concept dienen soll.
Lesetipp: Patch Day März: Windows Update gegen kritische Sicherheitslücken
Zahlreiche Antivirus-Tools noch ungepatcht
Wie die Security-Webseite The Hacker News berichtet, hat Cybellum die Zero-Day-Attacke bereits vor mehr als 90 Tagen an alle betroffenen Antivirus-Hersteller gemeldet. Bisher sollen jedoch nur Malwarebytes und AVG Patches veröffentlicht haben, die den Schutz verbessern. Trend-Micro plane zudem in Kürze ein entsprechendes Update.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Liste mit betroffenen Antivirus-Tools veröffentlicht. Nutzer dieser Software sollten verfügbare Sicherheitsupdates schnellstmöglich installieren:
- Avast Antivirus Free bis einschließlich 12.3
- Avast Antivirus Pro bis einschließlich 12.3
- Avast Internet Security bis einschließlich 12.3
- Avast Premier bis einschließlich 12.3
- AVG Anti-Virus bis einschließlich 17.1 FREE
- AVG Internet Security bis einschließlich 17.1
- AVG Ultimate bis einschließlich 17.1
- Avira Free Security Suite bis einschließlich 15.0
- Avira Internet Security Suite bis einschließlich 15.0
- Avira Optimization Suite bis einschließlich 15.0
- Avira Total Security Suite bis einschließlich 15.0
- Bitdefender Antivirus Plus bis einschließlich 12.0
- Bitdefender Internet Security bis einschließlich 12.0
- Bitdefender Total Security bis einschließlich 12.0
- Trend Micro Antivirus+ Security bis einschließlich 11.0
- Trend Micro Internet Security bis einschließlich 11.0
- Trend Micro Maximum Security bis einschließlich 11.0
Kein engfültiger Fix für DoubleAgent in Sicht
Da die DoubleAgent-Attacke zulässige Windows-Mechaniken nutzt, um Schadcode ins System einzuschleusen, sieht Cybellum keine Möglichkeit für Microsoft, Windows durch einen Patch vor der Angriffsmethode zu schützen. Die Sicherheitsexperten verweisen jedoch auf das mit Windows 8.1 eingeführte Sicherheitsfeature der "Protected Processes". Diese vom System durch signierten Code besonders geschützten Prozesse sind von Microsoft speziell für Anti-Malware-Software vorgesehen. Bisher - so Cybellum - nutze allerdings nur der Microsoft-eigene Windows Defender die neue Technik - und das obowohl das Feature bereits seit mehr als drei Jahren verfügbar sei.
Update (24. März): Stellungnahme von Symantec
Symantec, Entwickler der von Cybellum im Demo-Video angegriffenen Norton Security Software, hat ein erstes Statement zur DoubleAgent-Attacke abgegeben. Man habe die Angriffstechnik untersucht und könne bestätigen, dass der bereitgestellte Proof-of-Concept keine Produkt-Schwachstelle in Norton Security ausnutze. Vielmehr sei es ein Versuch, installierte Sicherheitssoftware zu umgehen, der zudem physischen Zugang zum angegriffenen PC sowie Adminrechte benötige. Symantec habe außerdem zusätzliche Erkennungs- und Schutz-Maßnahmen entwickelt und ausgerollt, um Norton-Nutzer im unwahrscheinlichen Fall einer Attacke zu schützen.
