Quelle: Rack911

Symlink Race Bug in 28 Antivirus-Produkten

Rack911 Labs hat aufgedeckt, dass 28 bekannte Antivirenprogramme Symlink Race Bugs enthalten, die es Angreifern ermöglichen, Dateien zu löschen und Abstürze auszulösen, die zur Installation von Malware genutzt werden könnten.

28. April 2020

Laut Rack911 Labs (über ZDNet) haben 28 beliebte Antiviren-Anwendungen, darunter Avast, AVG, Kaspersky, Bit Defender, Norton, Microsoft Defender, McAfee Endpoint Security und Malwarebytes, einen Fehler, der es Hackern ermöglichen könnte, diese Anwendungen in Selbstzerstörungs-Tools zu verwandeln. AVG und Avast bestreien allerdings in einem offiziellen Statement, dass ihre Programme den Bug beinhalten.

Antivirenprogramme führen beim Speichern einer unbekannten Datei auf der Festplatte eines Geräts einen Echtzeit-Scan durch. Wird festgestellt, dass die neu heruntergeladene Datei eine Bedrohung darstellt, stellt die Software die Datei automatisch unter Quarantäne und verschiebt sie an einen sicheren Ort, wo sie auf die Anweisungen des Benutzers wartet. Diese Dateien werden oft neben den legitimen Dateien platziert, die oft in einem privilegierten Zustand ausgeführt werden, also die höchste Autoritätsebene innerhalb des Betriebssystems besitzen. "Darin liegt ein grundlegender Fehler, da die Dateioperationen (fast) immer auf der höchsten Ebene ausgeführt werden, was die Tür zu einer Vielzahl von Sicherheitslücken und verschiedenen Race Conditions öffnet", so Rack911 Labs in einem Blog-Post.

Der Symlink Race Bug nutzt diese Privilegien, um legitime und wichtige Dateien zu löschen, die sich auf die Antiviren-Software beziehen, und "sie unwirksam zu machen und sogar wichtige Betriebssystemdateien zu löschen, die eine erhebliche Beschädigung verursachen würden, die eine vollständige Neuinstallation des Betriebssystems erfordern würde", so Rack911 weiter. Beunruhigend ist, dass dieser Fehler eine breite Palette von Antiviren-Software betrifft, sowohl für Windows, wie auch für MacOS und sogar Linux.

Die Sicherheitsforscher teilen aber auch mit, dass die meisten der betroffenen Antiviren-Programme den Fehler bis auf einige wenige Ausnahmen behoben haben. Die Forscher haben jedoch die Namen der Entwickler, die ihre Anwendungen noch nicht aktualisiert haben, nicht bekannt gegeben.

Update:
Wie Avast und AVG gegenüber "Swiss IT Media" verlauten lassen, betreffen die Sicherheitslücken deren Antivirenprogramme nicht. "Das im Artikel beschriebene Szenario trifft nicht auf Avast und AVG Antivirus (Gratis- und Premium-Versionen) zu, da Checks, durchgeführt von Avast und AVG File Shield, den Angriff erkennen und blocken würden", so die beiden Unternehmen in einer gemeinsamen Stellungnahme. (swe)