image

Aanvaller kan via quarantaine-lek in anti-virus rechten verhogen

maandag 13 november 2017, 15:02 door Redactie, 8 reacties
Laatst bijgewerkt: 13-11-2017, 16:16

Een beveiligingslek in de quarantaine-functie van verschillende anti-virusprogramma's maakt het mogelijk voor een aanvaller om zijn rechten op een al gehackt systeem te verhogen. De kwetsbaarheid wordt AVGater genoemd en werd door onderzoeker Florian Bogner ontdekt.

De aanval bestaat uit verschillende stappen, waarbij als eerste de virusscanner een kwaadaardig dll-bestand in quarantaine moet plaatsen. Dit is een locatie op het systeem waar verdachte bestanden tijdelijk worden bewaard, zonder dat ze verdere schade kunnen aanrichten. In het geval van een fout of onterechte detectie door de virusscanner kan het bestand worden teruggeplaatst. AVGater maakt gebruik van de mogelijkheid om in quarantaine geplaatste bestanden op willekeurige plekken terug te zetten.

Een gebruiker met beperkte rechten kan normaliter geen bestanden uit quarantaine halen. Bogner ontdekte dat dit via de Windows Service wel kan worden gedaan. De volgende stap in de aanval is het terugplaatsen van het bestand in een door de aanvaller gewenste directory. Die kan hiervoor van NTFS directory junctions gebruikmaken, ook wel soft links genoemd. Het gaat hier om een symbolische link van de ene naar de andere directory. Bijvoorbeeld C:\dira linkt naar C:\dirb\dirc. Via de directory junction kan de aanvaller zijn gewenste directory opgeven.

In het geval van AVGater gaat het bijvoorbeeld om de directory van een applicatie. Applicaties kunnen dll-bestanden in de eigen directory als eerste uitvoeren. Als het gaat om een applicatie die zelf met hogere rechten draait zal dit ervoor zorgen dat ook het kwaadaardige dll-bestand van de aanvaller met hogere rechten wordt uitgevoerd. De aanvaller krijgt zo volledige controle over het systeem. Het probleem speelt bij verschillende anti-virusbedrijven. Trend Micro, Emsisoft, Kaspersky Lab, Malwarebytes, ZoneAlarm en Ikarus hebben al updates voor hun software uitgebracht. Andere partijen zullen nog volgen, aldus Bogner. De namen van deze bedrijven heeft de onderzoeker niet bekendgemaakt.

Image

Reacties (8)
13-11-2017, 15:26 door Anoniem
Nou ja, Kaspersky lekt de laatste tijd wel meer...
13-11-2017, 16:07 door Anoniem
Graag een volledige lijst met de getroffen antivirus-vendors.Hoe zit het met bijv.Bitdefender? En McAfee,toch op veel nieuwe pc's voor-geinstalleerd.En ik mis er wel meer in het lijstje: Himan Pro,PandaSecurity,Comodo,Qihoo 360 Total Security,etc. En hoe zit het met de antivirus-apps op android? Zijn die ook getroffen door dit probleem?
13-11-2017, 16:15 door Anoniem
Waarom zou je een virus ook in quarantaine zetten. Meteen opruimen die zooi.
13-11-2017, 16:22 door Anoniem
Door Anoniem: Graag een volledige lijst met de getroffen antivirus-vendors.Hoe zit het met bijv.Bitdefender? En McAfee,toch op veel nieuwe pc's voor-geinstalleerd.En ik mis er wel meer in het lijstje: Himan Pro,PandaSecurity,Comodo,Qihoo 360 Total Security,etc. En hoe zit het met de antivirus-apps op android? Zijn die ook getroffen door dit probleem?

Als je het artikel leest: "De aanval bestaat uit verschillende stappen, waarbij als eerste de virusscanner een kwaadaardig dll-bestand in quarantaine moet plaatsen."

DLL bestanden zijn Windows specifiek dus toen haakte ik al af..ze hadden wat mij betreft dat wel in de titel er bij mogen zetten.
13-11-2017, 16:56 door Anoniem
Euh ja dat doen virus-scanners wel vaker,kwaadaardige bestanden (al dan niet dll.bestanden zijnde) in quarantaine plaatsen. Dit doen ze dus telkens als ze iets (mogelijk) kwaadaardigs zien op de pc.Dus dat is zo gepiept voor de hackers,je stuurt even een kwaadaardig dl.bestand en dan..hebbes!.. niet de virusscanner de malware ,maar de malware/hacker de virusscanner en daarmee zit ie zo in de betreffende pc.
13-11-2017, 17:57 door Anoniem
Door Anoniem: Graag een volledige lijst met de getroffen antivirus-vendors.

Wel eens van Google gehoord?
13-11-2017, 17:58 door karma4
Door Anoniem:
Als je het artikel leest: "De aanval bestaat uit verschillende stappen, waarbij als eerste de virusscanner een kwaadaardig dll-bestand in quarantaine moet plaatsen."

DLL bestanden zijn Windows specifiek dus toen haakte ik al af..ze hadden wat mij betreft dat wel in de titel er bij mogen zetten.
Die onzin om services met de hoogste rechten te willen draaien omdat het zo makkelijk is ben ik gewend te zien bij de unix linux systemen.
Owasp: draaien met het least privileges als principe bij ontwerp en uitrol zou een security persoon in het vaandel moeten hebben.
15-11-2017, 09:40 door Anoniem
Panda Adaptive 360 is de enige leverancier waar dergelijke processen niet mogelijk zijn dat deze het systeem injecteren of besmetten. Dus ook fileless exploits worden niet uitgevoerd, wat elk ander anti-malware pakket wel toestaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.