Schwere Sicherheitslücke

DoubleAgent: Zero-Day-Attacke bedroht alle Windows-Systeme

Das BSI warnt vor der neuen Zero-Day-Attacke DoubleAgent. Sie macht sogar Antivirus-Software zum Einfallstor für Malware. Betroffen sind alle Windows-Versionen. +++ Update: Stellungnahme von Symantec +++

DoubleAgent Windows Zero Day

© Cybellum / Pixelot - fotolia.com

Die Zero-Day-Attacke "DoubleAgent" bedroht alle Windows-System von XP bis Windows 10.

Die isrealische Sicherheitsfirma Cybellum hat eine "DoubleAgent" getaufte, schwere Windows-Sicherheitslücke entdeckt, die alle Versionen des Betriebssystems von Windows XP bis Windows 10 betrifft.  Ziel der Attacke ist ein 15 Jahre altes Windows-Feature, der Microsoft Application Verifier. Dieses Windows-Tool wird eigentlich von Entwicklern genutzt, um .DLL-Bibliotheken testweise für die Fehlersuche in Prozesse zu laden.

Die DoubleAgent-Attacke nutzt nun eine undokumentierte Funktion im Microsoft Application Verifier als Sicherheitslücke aus und schleust eine manipulierte .DLL-Datei ein, die dann in einen laufenden Prozess eines beliebigen Programms injiziert wird. Anschließend kann der Angreifer die volle Kontrolle über das System übernehmen und Backdoors und andere Malware installieren. DoubleAgent ist dabei persistent und kann dadurch Reboots, Updates und Patches überleben.

Die DoubleAgent-Attacke funktioniert theoretisch mit jedem Programm oder auch Windows-Systemprozessen. Laut Cybellum​ sind folgende Systeme angreifbar:

  • ​Jede Windows-Version (Windows XP bis Windows 10)
  • Jede Windows-Architektur (x86 und x64)
  • Jeder Windows-Nutzer (Admin, System etc.)
  • Jeder Ziel-Prozess, inklusive priviligierte Prozesse (Betriebssystem, Antivirus, etc.)

Antivirus-Software wird zum Einfallstor für Malware

Normalerweise soll Antivirus-Software vor derartigen Attacken schützen. Doch im Fall von DoubleAgent können Angreifer den Spieß umdrehen und volle Kontrolle über das Antivirus-Tool übernehmen. Wie Cybellum erklärt, könnte er so etwa Schadcode ausführen, die Antivirus-Whitelists und - Blacklists manipulieren, den PC in einen DDOS-Bot verwandeln oder gleich das ganze Datensystem zerstören.

Zu Demonstrationszwecken zeigt Cybellum ein Video (siehe Artikelende), in dem DoubleAgent die bekannte Security-Software Norton Antivirus übernimmt und wie eine Ransomware Dateien verschlüsselt. Die Firma veröffentlichte zudem Code auf GitHub, der als Proof-of-concept dienen soll.

Lesetipp: Patch Day März: Windows Update gegen kritische Sicherheitslücken

Zahlreiche Antivirus-Tools noch ungepatcht

Wie die Security-Webseite The Hacker News​ berichtet, hat Cybellum die Zero-Day-Attacke bereits vor mehr als 90 Tagen an alle betroffenen Antivirus-Hersteller gemeldet. Bisher sollen jedoch nur Malwarebytes und AVG Patches veröffentlicht haben, die den Schutz verbessern. Trend-Micro plane zudem in Kürze ein entsprechendes Update.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI)​ hat eine Liste mit betroffenen Antivirus-Tools veröffentlicht. Nutzer dieser Software sollten verfügbare Sicherheitsupdates schnellstmöglich installieren:

  • ​Avast Antivirus Free bis einschließlich 12.3
  • Avast Antivirus Pro bis einschließlich 12.3
  • Avast Internet Security bis einschließlich 12.3
  • Avast Premier bis einschließlich 12.3
  • AVG Anti-Virus bis einschließlich 17.1 FREE
  • AVG Internet Security bis einschließlich 17.1
  • AVG Ultimate bis einschließlich 17.1
  • Avira Free Security Suite bis einschließlich 15.0
  • Avira Internet Security Suite bis einschließlich 15.0
  • Avira Optimization Suite bis einschließlich 15.0
  • Avira Total Security Suite bis einschließlich 15.0
  • Bitdefender Antivirus Plus bis einschließlich 12.0
  • Bitdefender Internet Security bis einschließlich 12.0
  • Bitdefender Total Security bis einschließlich 12.0
  • Trend Micro Antivirus+ Security bis einschließlich 11.0
  • Trend Micro Internet Security bis einschließlich 11.0
  • Trend Micro Maximum Security bis einschließlich 11.0

Kein engfültiger Fix für DoubleAgent in Sicht

Da die DoubleAgent-Attacke zulässige Windows-Mechaniken nutzt, um Schadcode ins System einzuschleusen, sieht Cybellum​ keine Möglichkeit für Microsoft, Windows durch einen Patch vor der Angriffsmethode zu schützen. Die Sicherheitsexperten verweisen jedoch auf das mit Windows 8.1 eingeführte Sicherheitsfeature der "Protected Processes"​. Diese vom System durch signierten Code besonders geschützten Prozesse sind von Microsoft speziell für Anti-Malware-Software vorgesehen. Bisher - so Cybellum - nutze allerdings nur der Microsoft-eigene Windows Defender die neue Technik - und das obowohl das Feature bereits seit mehr als drei Jahren verfügbar sei.

Update (24. März): Stellungnahme von Symantec

Symantec, Entwickler der von Cybellum im Demo-Video angegriffenen Norton Security Software, hat ein erstes Statement zur DoubleAgent-Attacke abgegeben. Man habe die Angriffstechnik untersucht und könne bestätigen, dass der bereitgestellte Proof-of-Concept keine Produkt-Schwachstelle in Norton Security ausnutze. Vielmehr sei es ein Versuch, installierte Sicherheitssoftware zu umgehen, der zudem physischen Zugang zum angegriffenen PC sowie Adminrechte benötige. Symantec habe außerdem zusätzliche Erkennungs- und Schutz-Maßnahmen entwickelt und ausgerollt, um Norton-Nutzer im unwahrscheinlichen Fall einer Attacke zu schützen.

DoubleAgent Zero-Day Attacking Norton Antivirus

Quelle: Cybellum Technologies LTD
1:44 min

Mehr zum Thema

AdwCleaner Logo
Computer-Reinigung

Der kostenlose AdwCleaner reinigt Ihren Windows-Computer von unerwünschter Adware und auch Spyware. Hier geht's zum Download der Software!
Zahl zehn
Schutz vor Viren, Datenverlust und Co.

Das Thema PC-Sicherheit wirkt komplex und unübersichtlich. Dabei gibt es ein paar einfache Grundregeln. Wir verraten sie und geben Tipps.
Shutterstock Teaserbild
So geht's

Das kennt jeder: Auf einmal läuft Windows irgendwie anders und Systemeinstellungen wurden verändert. Doch wer ist schuld? Ein Update? Andere…
Sicherheit und Virenschutz
Microsoft

Microsoft hat zum Patch Day im Mai zahlreiche kritische Sicherheitslücken gefixt. Auch für den Adobe Flash Player steht ein wichtiges Update bereit.
Windows Update
Patch Day im Juni

Microsoft startet den Patch Day im Juni. Die aktuellen Windows Updates stopfen auch kritische Sicherheitslücken in Windows XP und Vista.
News
Video
SciFi-Action mit Ryan Gosling und Harrison Ford
Video
Agatha-Christie-Verfilmung mit Johnny Depp
Video
Kinostart: 23.11.2017