#AV Gater: Rechteausweitung über Quarantäne-Ordner

#AV Gater: Rechteausweitung über Quarantäne-Ordner

Derzeit kusiert ein als AVGater bekannter Angriffsmechnismus auf u.a. heise.de.

Bei kann ein schon als normaler Nutzer (lokal/remote) angemeldeter Angreifer die Wiederherstellungsfunktion der Quarantäne eines Antivierenprogramms ausnutzen um eine DLL in einen Systemordner zu verschieben, für den er sonst keine Rechte hätte.
Kasperky usw. bieten auch schon Patches an.

Allerdings ist das ganze nicht so schlimm, wie es erst klingt, da der Angreifer eben schon direkten Zugriff auf das System und die Oberfläche des AV-Programms haben muss. Ein Ausbruch der Malware aus der Quarantäne selbst, wie man erst denken könnte, findet nicht statt.
Allerdings kann ein Angreifer mit physischem Zugriff auf einen PC diesen einfach auch per LiveSystem booten und dort beliebige Systemdateien manipulieren und Daten abziehen.

Quelle: #AVGater: Systemubernahme via Quarantane-Ordner |
heise Security
Local Privilege Escalation in Emsisoft Anti-Malware by abusing NTFS Directory Junctions #AVGater >> #bogner.sh

AW: #AV Gater: Rechteausweitung über Quarantäne-Ordner

DKK007 schrieb:

Derzeit kusiert ein als AVGater bekannter Angriffsmechnismus auf u.a. heise.de.

Zum Vergrößern anklicken....

Bei der Formulierung könnte man erwarten, dass heise.de infiziert ist (und nicht nur lediglich über die Angriffsmöglichkeit informiert).

AW: #AV Gater: Rechteausweitung über Quarantäne-Ordner

Ist ja auch schon fast ein Jahr her dass vor diesem Angriffsvektor gewarnt wurde:
Ex-Firefox-Entwickler rat zur De-Installation von AV-Software | heise Security

AW: #AV Gater: Rechteausweitung über Quarantäne-Ordner

Er macht dabei nur eine Ausnahme: Wer Windows benutzt, könne die AV-Software von Microsoft behalten.

Zum Vergrößern anklicken....

Dabei ist insbesondere diese durch viele Lücken aufgefallen.
Kritische Lucke in Microsofts Malware Protection Engine | heise Security
Erneut kritische Lucke in Windows Defender & Co | heise Security

AW: #AV Gater: Rechteausweitung über Quarantäne-Ordner

Es werden regelmäßig Lücken gefunden und gepatcht bevor sie ausgenutzt werden ist etwas vollkommen anderes als "hat viele Lücken".
Ersteres ist bei komplexer Software die Regel (auch bei Linux), letzteres wäre ein echtes Problem.
Gerade das Thema Patches unterscheidet den MS Scanner von den 3rd-Party Tools.

AW: #AV Gater: Rechteausweitung über Quarantäne-Ordner

Olstyle schrieb:

Gerade das Thema Patches unterscheidet den MS Scanner von den 3rd-Party Tools.

Zum Vergrößern anklicken....

Positiv oder Negativ?
Bei den div. Virenscannern bekommen die Definitions-Datenbanken ja teilweise mehrmals am Tag ein Update.

AW: #AV Gater: Rechteausweitung über Quarantäne-Ordner

Definitionsupdate ist nicht gleich einem SW-Update.
Siehe Nachricht oben: Eine Reihe Hersteller haben das Problem auch, werden aber nicht beim Namen genannt weil sie nach wie vor keinen Patch geliefert haben.

Dass die nicht gerade kleine Gruppe an Leuten die eine veraltete AV-Lizenz nutzen und damit gar keine SW-Updates mehr bekommen deutlich schlechter da stehen als die mit MS Defender der vom OS Update-Service mit aktualisiert wird sollte eh klar sein.