Likes Likes:  0
  1. #1
    Avatar von DKK007
    Mitglied seit
    16.12.2013
    Liest
    PCGH.de & Heft
    Beiträge
    19.256

    #AV Gater: Rechteausweitung über Quarantäne-Ordner

    Derzeit kusiert ein als AVGater bekannter Angriffsmechnismus auf u.a. heise.de.

    Bei kann ein schon als normaler Nutzer (lokal/remote) angemeldeter Angreifer die Wiederherstellungsfunktion der Quarantäne eines Antivierenprogramms ausnutzen um eine DLL in einen Systemordner zu verschieben, für den er sonst keine Rechte hätte.
    Kasperky usw. bieten auch schon Patches an.

    Allerdings ist das ganze nicht so schlimm, wie es erst klingt, da der Angreifer eben schon direkten Zugriff auf das System und die Oberfläche des AV-Programms haben muss. Ein Ausbruch der Malware aus der Quarantäne selbst, wie man erst denken könnte, findet nicht statt.
    Allerdings kann ein Angreifer mit physischem Zugriff auf einen PC diesen einfach auch per LiveSystem booten und dort beliebige Systemdateien manipulieren und Daten abziehen.

    Quelle: #AVGater: Systemubernahme via Quarantane-Ordner |
    heise Security

    Local Privilege Escalation in Emsisoft Anti-Malware by abusing NTFS Directory Junctions #AVGater >> #bogner.sh
    PC: CPU: i7-4770K @3.5GHz, MB: ASUS Z87-Pro, RAM: 20GiB, NT: bq Straight Power E9 CM 580W, GPU: Sapphire R9-380X Nitro 4 GiB [ASIC 75,7%], Win7 Ultimate (64bit) + OpenSuse 13.1 (64bit)
    2. PC: CPU: i5-2500K @Stock, MB: ASRock Z77-Pro4, RAM: 12GiB, NT: bq Straight Power E10 400W, GPU: Gigabyte GTX1050ti G1 Gaming 4 GiB, Gehäuse: R5 PCGH, Win7 Pro (64bit)
    Laptop: ASUS Pro P55VA, CPU: i5-3210M @ 2x2,5GHz, RAM: 8GiB, HD4000, Win10-TP + Linux Mint 17 Cinnamon (jeweils 64bit) auf MX100 256GB

    •   Alt

      Anzeige
      Bitte einloggen, um diese Anzeige auszublenden.
       

  2. #2
    Avatar von PCGH_Stephan
    Mitglied seit
    31.10.2008
    Liest
    PCGH.de & Heft (Abo)
    Beiträge
    5.364

    AW: #AV Gater: Rechteausweitung über Quarantäne-Ordner

    Zitat Zitat von DKK007 Beitrag anzeigen
    Derzeit kusiert ein als AVGater bekannter Angriffsmechnismus auf u.a. heise.de.
    Bei der Formulierung könnte man erwarten, dass heise.de infiziert ist (und nicht nur lediglich über die Angriffsmöglichkeit informiert).

  3. #3
    Avatar von Olstyle
    Mitglied seit
    29.08.2007
    Liest
    PCGH.de & Heft (Abo)
    Ort
    NRW
    Beiträge
    11.556

    AW: #AV Gater: Rechteausweitung über Quarantäne-Ordner

    Ist ja auch schon fast ein Jahr her dass vor diesem Angriffsvektor gewarnt wurde:
    Ex-Firefox-Entwickler rat zur De-Installation von AV-Software | heise Security
    Triplescreen Gaming mit SoftTH Free Speech vs. Trolling
    Zitat Zitat von DoubleFine Action News
    “It’s true: We’re amazing,” commented Tim Schafer, president and CEO of Double Fine.

  4. #4
    Avatar von DKK007
    Mitglied seit
    16.12.2013
    Liest
    PCGH.de & Heft
    Beiträge
    19.256

    AW: #AV Gater: Rechteausweitung über Quarantäne-Ordner

    Er macht dabei nur eine Ausnahme: Wer Windows benutzt, könne die AV-Software von Microsoft behalten.
    Dabei ist insbesondere diese durch viele Lücken aufgefallen.
    Kritische Lucke in Microsofts Malware Protection Engine | heise Security
    Erneut kritische Lucke in Windows Defender & Co | heise Security
    PC: CPU: i7-4770K @3.5GHz, MB: ASUS Z87-Pro, RAM: 20GiB, NT: bq Straight Power E9 CM 580W, GPU: Sapphire R9-380X Nitro 4 GiB [ASIC 75,7%], Win7 Ultimate (64bit) + OpenSuse 13.1 (64bit)
    2. PC: CPU: i5-2500K @Stock, MB: ASRock Z77-Pro4, RAM: 12GiB, NT: bq Straight Power E10 400W, GPU: Gigabyte GTX1050ti G1 Gaming 4 GiB, Gehäuse: R5 PCGH, Win7 Pro (64bit)
    Laptop: ASUS Pro P55VA, CPU: i5-3210M @ 2x2,5GHz, RAM: 8GiB, HD4000, Win10-TP + Linux Mint 17 Cinnamon (jeweils 64bit) auf MX100 256GB

  5. #5
    Avatar von Olstyle
    Mitglied seit
    29.08.2007
    Liest
    PCGH.de & Heft (Abo)
    Ort
    NRW
    Beiträge
    11.556

    AW: #AV Gater: Rechteausweitung über Quarantäne-Ordner

    Es werden regelmäßig Lücken gefunden und gepatcht bevor sie ausgenutzt werden ist etwas vollkommen anderes als "hat viele Lücken".
    Ersteres ist bei komplexer Software die Regel (auch bei Linux), letzteres wäre ein echtes Problem.
    Gerade das Thema Patches unterscheidet den MS Scanner von den 3rd-Party Tools.
    Triplescreen Gaming mit SoftTH Free Speech vs. Trolling
    Zitat Zitat von DoubleFine Action News
    “It’s true: We’re amazing,” commented Tim Schafer, president and CEO of Double Fine.

  6. #6
    Avatar von Abductee
    Mitglied seit
    26.08.2011
    Liest
    PCGH.de & Heft (Abo)
    Beiträge
    15.936

    AW: #AV Gater: Rechteausweitung über Quarantäne-Ordner

    Zitat Zitat von Olstyle Beitrag anzeigen
    Gerade das Thema Patches unterscheidet den MS Scanner von den 3rd-Party Tools.
    Positiv oder Negativ?
    Bei den div. Virenscannern bekommen die Definitions-Datenbanken ja teilweise mehrmals am Tag ein Update.
    i5-4690K | GA-Z97MX-Gaming 5 | 16GB 1600MHz CL9 | GTX 1070 | Crucial MX200
    FiiO X1 2nd | Superluxx HD668B

  7. #7
    Avatar von Olstyle
    Mitglied seit
    29.08.2007
    Liest
    PCGH.de & Heft (Abo)
    Ort
    NRW
    Beiträge
    11.556

    AW: #AV Gater: Rechteausweitung über Quarantäne-Ordner

    Definitionsupdate ist nicht gleich einem SW-Update.
    Siehe Nachricht oben: Eine Reihe Hersteller haben das Problem auch, werden aber nicht beim Namen genannt weil sie nach wie vor keinen Patch geliefert haben.

    Dass die nicht gerade kleine Gruppe an Leuten die eine veraltete AV-Lizenz nutzen und damit gar keine SW-Updates mehr bekommen deutlich schlechter da stehen als die mit MS Defender der vom OS Update-Service mit aktualisiert wird sollte eh klar sein.
    Triplescreen Gaming mit SoftTH Free Speech vs. Trolling
    Zitat Zitat von DoubleFine Action News
    “It’s true: We’re amazing,” commented Tim Schafer, president and CEO of Double Fine.

Ähnliche Themen

  1. Freigegeben Ordner über den Fernseher sehen
    Von egor im Forum Tools, Anwendungen und Sicherheit
    Antworten: 6
    Letzter Beitrag: 14.04.2013, 20:07
  2. DX10 unter Windows XP über OpenGL
    Von zeffer im Forum Windows 7, 8(.1) und 10, Windows allgemein
    Antworten: 8
    Letzter Beitrag: 27.10.2007, 19:10
  3. "Entpack-Ordner" bei Demos usw ändern?
    Von DerSitzRiese im Forum Sonstige Spielethemen
    Antworten: 21
    Letzter Beitrag: 14.10.2007, 11:44
  4. Ordner Synchronisation
    Von ED101 im Forum Tools, Anwendungen und Sicherheit
    Antworten: 4
    Letzter Beitrag: 07.10.2007, 18:40

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •