Warnung vor Doubleagent

Das Antivirenprogramm wird zur Malware

Uhr

Die Windows-Bedrohung "Doubleagent" kann Antivirus-Programme in Malware verwandeln. Die meisten gängigen Antivirenprogramme sollen betroffen sein. Windows Defender sei eine Ausnahme.

Doubleagent basiere auf einem 15 Jahre alten Windows-Feature (Quelle: Cybellum.com)
Doubleagent basiere auf einem 15 Jahre alten Windows-Feature (Quelle: Cybellum.com)

Cybellum Technologies hat eine Windows-Bedrohung namens "Doubleagent" aufgedeckt. Wie die Plattform schreibt, ist Doubleagent eine Methode, um Code in ein fremdes System zu schleusen und dessen Beständigkeit zu gewähren.

Die Bedrohung basiere auf dem Microsoft Application Verifier, einem Windows-Feature, das seit Windows XP Teil des Windows-Betriebssystems ist. Betroffen seien daher die 32- und 64-Bit-Versionen von allen Windows-Versionen seit XP, inklusive Windows 10. Das deutsche Bundesamt für Sicherheit in der Informationstechnik bewertete die Bedrohung mit der zweithöchsten Risikostufe 4.

Antivirensoftware beginnt, Malware zu installieren

Über das Feature könnten Angreifer in jeden Windows-Prozess schädlichen Code einschleusen. Dies gelte kritischerweise auch für Antivirenprogramme. So könnte der Virenschutz selbst zu Malware werden. Auch Massnahmen wie Neustarts, Updates und Reinstallation könnten die Infektion nicht rückgängig machen. Bei jedem Start des betroffenen Programms lade das System den Code erneut, unabhängig davon, wo oder wann das Programm installiert wurde. Über ein infiziertes Antivirenprogramm könnte Doubleagent dann weitere Malware permanent ins System einbetten.

Eine mögliche Lösung ist laut Cybellum ein von Microsoft vorgeschlagenes Design-Konzept namens "Protected Processes". Anhand dieses Konzepts könnten unsignierte Quellen wie Doubleagent keinen Code in geschützte Prozesse wie das Antivirenprogramm einschleusen. Das Konzept gibt es schon seit drei Jahren, sei aber nur im Windows Defender implementiert.

Da es sich beim Microsoft Application Verifier um ein Feature und nicht um eine Sicherheitslücke handelt, kann Microsoft die Schwachstelle laut Cybellum nicht per Windows-Patch eliminieren. Cybellum weist zudem darauf hin, dass auch "Protected Processes" die Schwachstelle nicht behebt, sondern nur davor schützt. Denn die Einschleusungsmethode basiere auf einem legitimen Bestandteil des Betriebssystems.

Doubleagent könne unter anderem folgende Antivirenprogramme angreifen:

  • Avast*

  • AVG*

  • Avira

  • Bitdefender

  • Comodo

  • ESET

  • F-Secure

  • Kaspersky

  • Malwarebytes

  • McAfee

  • Norton

  • Panda

  • Quick Heal

  • Trend Micro

Cybellum ist eine selbsternannte "Deterministic Zero-Day Prevention Platform", also eine Plattform zur Aufdeckung und Eliminierung von unbekannten digitalen Bedrohungen.

*Update: Der tschechische Hersteller für Sicherheitssoftware Avast teilte mit, dass aktuelle Versionen von Avast und AVG nicht von der Bedrohung betroffen seien. Cybellum habe das Unternehmen bereits 2016 über Doubleagent informiert, worauf es die Anfälligkeit behob. Ondrej Vlcek, CTO und General Manager of the Consumer Business, sagt zudem: "Wichtig ist, dass der Exploit Administrator-Rechte voraussetzt um den Angriff durchzuführen und sobald das der Fall ist, gibt es unzählige andere Wege, Schaden zu verursachen oder das grundlegende Betriebssystem selbst zu verändern. Darum schätzen wir die Bedrohung als niedrig ein und halten Cybellums Betonung des durch diesen Exploit verursachten Risikos für übertrieben."

Webcode
DPF8_33063