Weissblick - Fotolia

F

Wie nutzten Angreifer Microsofts Application Verifier für Attacken?

Mithilfe eines Microsoft-Tools ist es Angreifern gelungen, Sicherheitsprogramme wie Antiviren-Lösungen zu übernehmen. Wie funktionierte diese Attacke?

Entwickler können den Microsoft Application Verifier verwenden, um Programmierfehler in ihren Applikationen zu finden. Das Tool ist seit Windows XP verfügbar.

Allerdings haben es Lücken in diesem Microsoft Produkt möglich gemacht, dass Angreifer eine Attacke namens DoubleAgent gegen Antiviren-Produkte durchführen konnten. Im Beispiel konnten sie die komplette Kontrolle über Norton AntiVirus übernehmen, das Sicherheitsprogramm in eine Ransomware umwandeln und Daten der Nutzer verschlüsseln oder löschen.

Der Angriff beginnt damit, dass das Tool einen sogenannte Verified Provider Dynamic Link Library (DLL) in den Prozess der Zielapplikation lädt. Damit lässt sich das Programm während des Ausführens testen. Nachdem das Verifier-Tool erstellt wurde, wird die DLL zur Registry als Provider DLL für einen speziellen Prozess hinzugefügt. Windows injiziert die DLL automatisch in alle Prozesse, die mit dem Namen des Produkts registriert sind.

Einige Anbieter von Antiviren-Lösungen versuchen ihre Produkte zu schützen, indem sie die Registry-Schlüssel mit ihren Prozessen verknüpfen. Gemäß den Sicherheitsforschern bei Cybellum, einem israelischen Unternehmen, das auf Zero-Day-Attacken spezialisiert ist, konnten die Selbstschutzmechanismen des Produktes einfach umgangen werden. Die Techniken funktionierten bei allen größeren Anbietern, so Cybellum im März 2017. Als Nachweis injizierten die Forscher beliebigen Code und registrierten eine bösartige DLL für einen Prozess, der mit einem Produkt verknüpft ist.

Viele Anbieter von Antiviren-Lösungen haben zeitnah Updates für ihre Programme veröffentlicht, um diese Sicherheitslücke zu schließen. Interessierte Anwender und Admins können dies eventuell in den Changelogs überprüfen, oder gegebenenfalls nach entsprechenden Updates Ausschau halten.

Zum Schutz von Antimalware-Diensten setzt Microsoft zudem auf einen zusätzlichen Ansatz. In der neuesten Windows-Version sehen Anwender den Status der Antiviren-Lösungen und der Firewall im Windows Defender Security Center.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
 

Nächste Schritte

System und Anwendungen gegen Attacken schützen

Windows 10 Creators Update: Neuerungen bei Sicherheit und Datenschutz

Wie kritisch sind DLL-Schwachstellen für Unternehmen?

Die am häufigsten ausgenutzten Softwareschwachstellen

Artikel wurde zuletzt im Juli 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Hacker-Tools und -Techniken, Untergrundseiten, Hacker-Gruppen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close