DKK007
PCGH-Community-Veteran(in)
#AV Gater: Rechteausweitung über Quarantäne-Ordner
Derzeit kusiert ein als AVGater bekannter Angriffsmechnismus auf u.a. heise.de.
Bei kann ein schon als normaler Nutzer (lokal/remote) angemeldeter Angreifer die Wiederherstellungsfunktion der Quarantäne eines Antivierenprogramms ausnutzen um eine DLL in einen Systemordner zu verschieben, für den er sonst keine Rechte hätte.
Kasperky usw. bieten auch schon Patches an.
Allerdings ist das ganze nicht so schlimm, wie es erst klingt, da der Angreifer eben schon direkten Zugriff auf das System und die Oberfläche des AV-Programms haben muss. Ein Ausbruch der Malware aus der Quarantäne selbst, wie man erst denken könnte, findet nicht statt.
Allerdings kann ein Angreifer mit physischem Zugriff auf einen PC diesen einfach auch per LiveSystem booten und dort beliebige Systemdateien manipulieren und Daten abziehen.
Quelle: #AVGater: Systemubernahme via Quarantane-Ordner |
heise Security
Local Privilege Escalation in Emsisoft Anti-Malware by abusing NTFS Directory Junctions #AVGater >> #bogner.sh
Derzeit kusiert ein als AVGater bekannter Angriffsmechnismus auf u.a. heise.de.
Bei kann ein schon als normaler Nutzer (lokal/remote) angemeldeter Angreifer die Wiederherstellungsfunktion der Quarantäne eines Antivierenprogramms ausnutzen um eine DLL in einen Systemordner zu verschieben, für den er sonst keine Rechte hätte.
Kasperky usw. bieten auch schon Patches an.
Allerdings ist das ganze nicht so schlimm, wie es erst klingt, da der Angreifer eben schon direkten Zugriff auf das System und die Oberfläche des AV-Programms haben muss. Ein Ausbruch der Malware aus der Quarantäne selbst, wie man erst denken könnte, findet nicht statt.
Allerdings kann ein Angreifer mit physischem Zugriff auf einen PC diesen einfach auch per LiveSystem booten und dort beliebige Systemdateien manipulieren und Daten abziehen.
Quelle: #AVGater: Systemubernahme via Quarantane-Ordner |
heise Security
Local Privilege Escalation in Emsisoft Anti-Malware by abusing NTFS Directory Junctions #AVGater >> #bogner.sh