Schwere Sicherheitslücke

DoubleAgent: Zero-Day-Attacke bedroht alle Windows-Systeme

Das BSI warnt vor der neuen Zero-Day-Attacke DoubleAgent. Sie macht sogar Antivirus-Software zum Einfallstor für Malware. Betroffen sind alle Windows-Versionen. +++ Update: Stellungnahme von Symantec +++

© Cybellum / Pixelot - fotolia.com

Die Zero-Day-Attacke "DoubleAgent" bedroht alle Windows-System von XP bis Windows 10.

Die isrealische Sicherheitsfirma Cybellum hat eine "DoubleAgent" getaufte, schwere Windows-Sicherheitslücke entdeckt, die alle Versionen des Betriebssystems von Windows XP bis Windows 10 betrifft.  Ziel der Attacke ist ein 15 Jahre altes Windows-Feature, der Microsoft Application Verifier. Dieses Windows-Tool wird eigentlich von Entwicklern genutzt, um .DLL-Bibliotheken testweise für die Fehlersuche in Prozesse zu laden.

Die DoubleAgent-Attacke nutzt nun eine undokumentierte Funktion im Microsoft Application Verifier als Sicherheitslücke aus und schleust eine manipulierte .DLL-Datei ein, die dann in einen laufenden Prozess eines beliebigen Programms injiziert wird. Anschließend kann der Angreifer die volle Kontrolle über das System übernehmen und Backdoors und andere Malware installieren. DoubleAgent ist dabei persistent und kann dadurch Reboots, Updates und Patches überleben.

Die DoubleAgent-Attacke funktioniert theoretisch mit jedem Programm oder auch Windows-Systemprozessen. Laut Cybellum​ sind folgende Systeme angreifbar:

  • ​Jede Windows-Version (Windows XP bis Windows 10)
  • Jede Windows-Architektur (x86 und x64)
  • Jeder Windows-Nutzer (Admin, System etc.)
  • Jeder Ziel-Prozess, inklusive priviligierte Prozesse (Betriebssystem, Antivirus, etc.)

Antivirus-Software wird zum Einfallstor für Malware

Normalerweise soll Antivirus-Software vor derartigen Attacken schützen. Doch im Fall von DoubleAgent können Angreifer den Spieß umdrehen und volle Kontrolle über das Antivirus-Tool übernehmen. Wie Cybellum erklärt, könnte er so etwa Schadcode ausführen, die Antivirus-Whitelists und - Blacklists manipulieren, den PC in einen DDOS-Bot verwandeln oder gleich das ganze Datensystem zerstören.

Zu Demonstrationszwecken zeigt Cybellum ein Video (siehe Artikelende), in dem DoubleAgent die bekannte Security-Software Norton Antivirus übernimmt und wie eine Ransomware Dateien verschlüsselt. Die Firma veröffentlichte zudem Code auf GitHub, der als Proof-of-concept dienen soll.

Lesetipp: Patch Day März: Windows Update gegen kritische Sicherheitslücken

Zahlreiche Antivirus-Tools noch ungepatcht

Wie die Security-Webseite The Hacker News​ berichtet, hat Cybellum die Zero-Day-Attacke bereits vor mehr als 90 Tagen an alle betroffenen Antivirus-Hersteller gemeldet. Bisher sollen jedoch nur Malwarebytes und AVG Patches veröffentlicht haben, die den Schutz verbessern. Trend-Micro plane zudem in Kürze ein entsprechendes Update.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI)​ hat eine Liste mit betroffenen Antivirus-Tools veröffentlicht. Nutzer dieser Software sollten verfügbare Sicherheitsupdates schnellstmöglich installieren:

  • ​Avast Antivirus Free bis einschließlich 12.3
  • Avast Antivirus Pro bis einschließlich 12.3
  • Avast Internet Security bis einschließlich 12.3
  • Avast Premier bis einschließlich 12.3
  • AVG Anti-Virus bis einschließlich 17.1 FREE
  • AVG Internet Security bis einschließlich 17.1
  • AVG Ultimate bis einschließlich 17.1
  • Avira Free Security Suite bis einschließlich 15.0
  • Avira Internet Security Suite bis einschließlich 15.0
  • Avira Optimization Suite bis einschließlich 15.0
  • Avira Total Security Suite bis einschließlich 15.0
  • Bitdefender Antivirus Plus bis einschließlich 12.0
  • Bitdefender Internet Security bis einschließlich 12.0
  • Bitdefender Total Security bis einschließlich 12.0
  • Trend Micro Antivirus+ Security bis einschließlich 11.0
  • Trend Micro Internet Security bis einschließlich 11.0
  • Trend Micro Maximum Security bis einschließlich 11.0

Kein engfültiger Fix für DoubleAgent in Sicht

Da die DoubleAgent-Attacke zulässige Windows-Mechaniken nutzt, um Schadcode ins System einzuschleusen, sieht Cybellum​ keine Möglichkeit für Microsoft, Windows durch einen Patch vor der Angriffsmethode zu schützen. Die Sicherheitsexperten verweisen jedoch auf das mit Windows 8.1 eingeführte Sicherheitsfeature der "Protected Processes"​. Diese vom System durch signierten Code besonders geschützten Prozesse sind von Microsoft speziell für Anti-Malware-Software vorgesehen. Bisher - so Cybellum - nutze allerdings nur der Microsoft-eigene Windows Defender die neue Technik - und das obowohl das Feature bereits seit mehr als drei Jahren verfügbar sei.

Update (24. März): Stellungnahme von Symantec

Symantec, Entwickler der von Cybellum im Demo-Video angegriffenen Norton Security Software, hat ein erstes Statement zur DoubleAgent-Attacke abgegeben. Man habe die Angriffstechnik untersucht und könne bestätigen, dass der bereitgestellte Proof-of-Concept keine Produkt-Schwachstelle in Norton Security ausnutze. Vielmehr sei es ein Versuch, installierte Sicherheitssoftware zu umgehen, der zudem physischen Zugang zum angegriffenen PC sowie Adminrechte benötige. Symantec habe außerdem zusätzliche Erkennungs- und Schutz-Maßnahmen entwickelt und ausgerollt, um Norton-Nutzer im unwahrscheinlichen Fall einer Attacke zu schützen.

DoubleAgent Zero-Day Attacking Norton Antivirus

Quelle: Cybellum Technologies LTD
1:44 min

Mehr zum Thema

Windows Update

Das Update auf Windows 10 Threshold 2 entfernt Programme, die eigentlich dem Schutz des Computers dienen.
Laut Microsoft

Microsoft erklärt, warum Windows 10 einige, scheinbar praktische Tuning- und Aufräum-Tools als potenziell schädlich einstuft und entfernt.
Sicherheit

Der Windows Defender bietet Hackern eine Schwachstelle, die das aktuelle Update von Microsoft schließt. Lesen Sie Details zur Sicherheitslücke.
IE 9 bis IE 11 auf Windows 10, 8.1 und 7 betroffen

Windows 10, 8.1 und 7 haben den Internet Explorer vorinstalliert. Nun warnt Microsoft vor einer neuen Sicherheitslücke, die für Angriffe genutzt wird.
Windows Codecs Library

Gefahr von Remote Code Execution: Microsoft hat ein außerplanmäßiges Update veröffentlicht, um zwei Sicherheitslücken in Windows 10 zu beseitigen.