Ein Sicherheitsforscher von Safebreach namens Or Yair hat es geschafft, Antivirenprogramme so zu manipulieren, dass sie harmlose und potenziell geschäftsrelevante Dateien löschen. Unter dem Namen Aikido hat er einen Proof of Concept seiner Vorgehensweise veröffentlicht, wie "Neowin"
berichtet. Microsoft, Trendmicro, Avast und AVG haben bereits mit Patches reagiert.
Unter Aikido versteht man in Kampfkunst-Kreisen eine Taktik, die dazu dient, Angriffe des Gegners gegen ihn selbst zu wenden. Genau dies machen die von Or Yair manipulierten Antivirenprogramme. Seine Vorgehensweise macht sich die sogenannte Time-of-Check-to-Time-of-Use-Schwachstellle (TOCTOU) zunutze: Während eine herkömmliche Antivirenlösung eine Datei zunächst als bösartig erkennt und sie dann löscht, nutzt die von Or Yair manipulierte Antivirenlösung die TOCTOU-Schwachstelle, um nach der Erkennung von Malware einen alternativen Pfad einzufügen, der zum Löschen von legitimen Dateien führt. Selbst Systemdateien können auf diese Weise gelöscht werden. Detailinformationen zum Vorgehen des Sicherheitsforschers finden sich auf der
Webseite von Safebreach.
Gemäss dem Sicherheitsforscher sind über 50 Prozent der getesteten Antivirenprogramme anfällig:
Anfällig
- Microsoft Defender
- Defender for Endpoint
- Sentinel One EDR
- Trendmicro Apex One
- Avast Antivirus
- AVG Antivirus
Nicht anfällig
- Palo Alto XDR
- Cylance
- Crowdstrike
- Mc Afee
- Bitdefender
Microsoft hat die Schwachstelle in der jüngsten Version der Malware Protection Engine 1.1.19700.2 behoben. Auch Trendmicro (Hotfix 23573 und Patch_b11136) und Avast- sowie AVG-Antivirus (22.10) nehmen sich der Schwachstelle mit Patches an.
(rf)