Eine Firma, die Produkte zum Schutz vor Zero-Day-Exploits vertreibt, zeigt eine aktuelle Schwachstelle in Windows, die es angeblich ermöglicht AV-Produkte in Schadprogramme zu verwandeln. Die Verunsicherung ist wieder mal groß. Bei näherer Betrachtung ist keine Panik angebracht.
Momentan wird viel über eine vermeintliche Sicherheitslücke gesprochen, die es angeblich ermöglicht, Antiviren-Software in Malware zu verwandeln. DoubleAgent soll wie in den alten Spionagefilmen einen Agenten "umdrehen", damit er für die Gegenseite tätig wird. Das Bild, das hier gezeichnet wird ist verwirrend und beängstigend - und es ist unvollständig und hart an der Grenze zu falsch. Wie viel Panik ist angebracht?
Wie funktioniert der Angriff?
Windows bietet mit dem Application Verifier eine Möglichkeit für Entwickler, Fehler in ihren Programmen zu finden. Im Gegensatz zu normalen Debuggern, kann eine Programmbibliothek (DLL) in den Prozess eingefügt werden, mit der ein Entwickler eigene Fehlersuchroutinen in sein Programm integrieren kann. Über nicht offiziell dokumentierte, aber durchaus bekannte Eigenschaften des Application Verifiers ist es möglich, den ursprünglichen Verifier durch einen eigenen zu ersetzen. So kann man beliebigen Code in jede beliebige Anwendung einschleusen. Das wird dann anhand von Antiviren-Software demonstriert. Vierzehn verschiedene Hersteller werden aufgelistet und wurden vor 90 Tagen über die Schwachstelle informiert. Mehrere Dutzend andere Hersteller - darunter auch G DATA - wurden nicht informiert.
Wie gefährlich ist das jetzt wirklich?
Die Einschätzung des wirklichen Risikos einer Bedrohung hängt von mehreren Faktoren ab:
Wie verbreitet ist die Lücke? | sehr verbreitet, da Standardtool |
| Wie einfach ist es die Lücke auszunutzen? | erfordert Admin-Rechte |
| Wie hoch ist der Nutzen? | Gering, da man ja schon Admin-Rechte besitzt. |
Eine wirkliche Gefahr wird eine solche Lücke erst, wenn sie aktiv von Schadprogrammen ausgenutzt wird. Microsoft hat schon 2015 über ein Trojanisches Pferd namens Bampeass.C berichtet, das den Application Verifier missbraucht, um sich an der Benutzerkontensteuerung vorbeizumogeln. Der massenhafte Missbrauch dieser Lücke hat aber keineswegs stattgefunden. Im Gegenteil: Malware-Samples, die Application Verifier für DLL-Hijacking nutzen, sind Exoten. Momentan braucht man sich um diesen möglichen Angriffsweg keine Sorgen zu machen. Die Panik, die aufgrund der vielen Pressemeldungen dazu aufkommen könnte, ist völlig unbegründet.
Der Teufel im Detail
Immer wieder fällt in dem Zusammenhang von DoubleAgent der Begriff Zero-Day-Exploit. Der ist aber hier gar nicht angebracht, da es sich streng genommen gar nicht um eine Sicherheitslücke handelt. Hier wird eine Systemfunktion missbraucht und letztlich läuft es darauf hinaus, dass sich eine Malware in die Registry einträgt, um automatisch zu starten und dabei gleichzeitig in die Zielprozesse injiziert wird. Kompliment an Jürgen Schmidt, der das bei heise auch entsprechend eingeordnet hat.
Wie oben schon angedeutet, ist die beschriebene Lücke auch nicht neu. Sie wurde bei Virus Bulletin schon 2011 beschrieben. Microsoft hat selbst 2012 darüber gebloggt. Auch Alex Ionescu ist alles andere als amüsiert darüber, dass ein aufstrebendes israelisches IT-Security-Unternehmen Ergebnisse als neu ausgibt, über die er selbst schon vor 2 Jahren bei einem Vortrag in Tel Aviv berichtet hat.
In dem Beitrag wird auch völlig verschwiegen, dass der Angreifer für den Eintrag in der Registry Adminrechte braucht. Wenn er die hat, kann er all die fiesen Dinge direkt tun, die in dem Bericht beschrieben wurden: Daten ausleiten, mit einem Steuerserver kommunizieren, die Maschine zerstören, Dienste überlasten etc. Der Umweg über die Antiviren-Software ist dafür überhaupt nicht notwendig. Der Verdacht kommt auf, dass die allgemeine Bereitschaft Virenschutzdas alles nur eine Marketingaktion war.
Inwiefern betrifft das G DATA und seine Kunden?
Noch einmal im Klartext: Momentan geht von dieser Schwachstelle keine reelle Gefahr aus. Sollte sich das ändern, werden wir darüber berichten.
Da wir erst aus der Presse von der Schwachstelle erfahren haben, stehen wir mit unseren Analysen noch am Anfang. Wir werden notwendige Maßnahmen umgehend einleiten, sofern sie notwendig sind. Wir haben zusätzlich die Bedingungen erfasst, die zum Ausnutzen der Schwachstelle notwendig sind und unsere Regelwerke schon einmal vorsorglich erweitert. Wir gehen davon aus, dass wir Malware, die diesen Weg der Verbreitung wählt, schon im Ansatz erkennen und blockieren.
Ausblick - Viel Lärm um nichts
Es ist unwahrscheinlich, dass die als DoubleAgent beschriebene Schwachstelle tatsächlich Virenschutz-Software missbrauchen wird. Mit den notwendigen Adminrechten kann Malware ihre Schadfunktionen auch ohne diesen Umweg ausführen.
Der Medien-Hype um diese Form von Autostart und DLL-Injection könnte dafür sorgen, dass Malwareautoren dieses Verfahren häufiger einsetzen. Wir sind darauf vorbereitet.
Kurz zusammengefasst
- DoubleAgent ist keine Gefahr. Viele Medienberichte erzeugen ein falsches Bild.
- Virenschutz-Software kann sich selbst schützen
- Der gezeigte Angriff auf AV-Software ist für tatsächliche Angriffe völlig irrelevant.
- Für viel Publicity hat es gesorgt. Fachlich war das aber völlig daneben.