Schwere Sicherheitslücke

DoubleAgent: Zero-Day-Attacke bedroht alle Windows-Systeme

Das BSI warnt vor der neuen Zero-Day-Attacke DoubleAgent. Sie macht sogar Antivirus-Software zum Einfallstor für Malware. Betroffen sind alle Windows-Versionen. +++ Update: Stellungnahme von Symantec +++

News
VG Wort Pixel
DoubleAgent Windows Zero Day
Die Zero-Day-Attacke "DoubleAgent" bedroht alle Windows-System von XP bis Windows 10.
© Cybellum / Pixelot - fotolia.com

Die isrealische Sicherheitsfirma Cybellum hat eine "DoubleAgent" getaufte, schwere Windows-Sicherheitslücke entdeckt, die alle Versionen des Betriebssystems von Windows XP bis Windows 10 betrifft.  Ziel der Attacke ist ein 15 Jahre altes Windows-Feature, der Microsoft Application Verifier. Dieses Windows-Tool wird eigentlich von Entwicklern genutzt, um .DLL-Bibliotheken testweise für die Fehlersuche in Prozesse zu laden.

Die DoubleAgent-Attacke nutzt nun eine undokumentierte Funktion im Microsoft Application Verifier als Sicherheitslücke aus und schleust eine manipulierte .DLL-Datei ein, die dann in einen laufenden Prozess eines beliebigen Programms injiziert wird. Anschließend kann der Angreifer die volle Kontrolle über das System übernehmen und Backdoors und andere Malware installieren. DoubleAgent ist dabei persistent und kann dadurch Reboots, Updates und Patches überleben.

Die DoubleAgent-Attacke funktioniert theoretisch mit jedem Programm oder auch Windows-Systemprozessen. Laut Cybellum​ sind folgende Systeme angreifbar:

Antivirus-Software wird zum Einfallstor für Malware

Normalerweise soll Antivirus-Software vor derartigen Attacken schützen. Doch im Fall von DoubleAgent können Angreifer den Spieß umdrehen und volle Kontrolle über das Antivirus-Tool übernehmen. Wie Cybellum erklärt, könnte er so etwa Schadcode ausführen, die Antivirus-Whitelists und - Blacklists manipulieren, den PC in einen DDOS-Bot verwandeln oder gleich das ganze Datensystem zerstören.

Zu Demonstrationszwecken zeigt Cybellum ein Video (siehe Artikelende), in dem DoubleAgent die bekannte Security-Software Norton Antivirus übernimmt und wie eine Ransomware Dateien verschlüsselt. Die Firma veröffentlichte zudem Code auf GitHub, der als Proof-of-concept dienen soll.

Lesetipp: Patch Day März: Windows Update gegen kritische Sicherheitslücken

Zahlreiche Antivirus-Tools noch ungepatcht

Wie die Security-Webseite The Hacker News​ berichtet, hat Cybellum die Zero-Day-Attacke bereits vor mehr als 90 Tagen an alle betroffenen Antivirus-Hersteller gemeldet. Bisher sollen jedoch nur Malwarebytes und AVG Patches veröffentlicht haben, die den Schutz verbessern. Trend-Micro plane zudem in Kürze ein entsprechendes Update.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI)​ hat eine Liste mit betroffenen Antivirus-Tools veröffentlicht. Nutzer dieser Software sollten verfügbare Sicherheitsupdates schnellstmöglich installieren:

Kein engfültiger Fix für DoubleAgent in Sicht

Da die DoubleAgent-Attacke zulässige Windows-Mechaniken nutzt, um Schadcode ins System einzuschleusen, sieht Cybellum​ keine Möglichkeit für Microsoft, Windows durch einen Patch vor der Angriffsmethode zu schützen. Die Sicherheitsexperten verweisen jedoch auf das mit Windows 8.1 eingeführte Sicherheitsfeature der "Protected Processes"​. Diese vom System durch signierten Code besonders geschützten Prozesse sind von Microsoft speziell für Anti-Malware-Software vorgesehen. Bisher - so Cybellum - nutze allerdings nur der Microsoft-eigene Windows Defender die neue Technik - und das obowohl das Feature bereits seit mehr als drei Jahren verfügbar sei.

Update (24. März): Stellungnahme von Symantec

Symantec, Entwickler der von Cybellum im Demo-Video angegriffenen Norton Security Software, hat ein erstes Statement zur DoubleAgent-Attacke abgegeben. Man habe die Angriffstechnik untersucht und könne bestätigen, dass der bereitgestellte Proof-of-Concept keine Produkt-Schwachstelle in Norton Security ausnutze. Vielmehr sei es ein Versuch, installierte Sicherheitssoftware zu umgehen, der zudem physischen Zugang zum angegriffenen PC sowie Adminrechte benötige. Symantec habe außerdem zusätzliche Erkennungs- und Schutz-Maßnahmen entwickelt und ausgerollt, um Norton-Nutzer im unwahrscheinlichen Fall einer Attacke zu schützen.

DoubleAgent Zero-Day Attacking Norton Antivirus

Quelle: Cybellum Technologies LTD
1:44 min

23.3.2017 von Manuel Medicus

Weiter zur Startseite  

Mehr zum Thema

Windows 10 - Startmenü

Windows Update

Windows 10 Threshold 2 entfernt Sicherheitsprogramme

Das Update auf Windows 10 Threshold 2 entfernt Programme, die eigentlich dem Schutz des Computers dienen.

10 Profitipps zum Windows-Rechner

Laut Microsoft

Windows 10: Warum Tuning- und Aufräum-Tools eher schaden…

Microsoft erklärt, warum Windows 10 einige, scheinbar praktische Tuning- und Aufräum-Tools als potenziell schädlich einstuft und entfernt.

Microsoft Windows Defender

Sicherheit

Windows Defender: Microsoft patcht kritische…

Der Windows Defender bietet Hackern eine Schwachstelle, die das aktuelle Update von Microsoft schließt. Lesen Sie Details zur Sicherheitslücke.

Windows 10 Basic Header

Windows Codecs Library

Windows 10: Notfall-Update fixt wichtige Sicherheitslücken

Gefahr von Remote Code Execution: Microsoft hat ein außerplanmäßiges Update veröffentlicht, um zwei Sicherheitslücken in Windows 10 zu beseitigen.

Windows-Logo

Bugfixes, Flash-Ende und 21H2-Specs

Windows 10: Weitere Updates im Februar – die wesentlichen…

Nach dem Patchday kommen optionale Updates für Windows 10. Wir fassen das Wichtigste zu KB4601380 (1909), KB4601383 (1809), KB4577586 (19xx) und mehr…