Sicherheitslücke: 28 Antivirenprogramme konnten sich selbst zerstören

Eigentlich sollen Antivirenprogramme vor Bedrohungen oder Schadsoftware schützen, doch immer wieder enthält die Software selbst Sicherheitslücken. Die Sicherheitsfirma Rack911 Labs entdeckte eine solche in 28 Antivirenprogrammen unter Windows, MacOS und Linux: Mit einem einfachen Trick konnten die Programme dazu gebracht werden, wichtige Programm- oder Systemdateien zu löschen. Die Antivirensoftware konnte sich selbst oder das Betriebssystem zerstören. Die meisten Antivirenprogramme haben das Problem mittlerweile behoben - manche allerdings über sechs Monate nach einer Meldung durch Rack911 Labs immer noch nicht.

Sofern sich Nutzer eine Antivirensoftware installiert haben, überprüft diese üblicherweise jede neu auf der Festplatte abgelegte Datei auf Schadsoftware. Identifiziert sie eine möglicherweise schädliche Datei, verschiebt sie diese in einen abgesicherten Bereich (Quarantäne) oder löscht sie.

An diesem Punkt setzten die Sicherheitsforscher von Rack911 Labs an: Sie erzeugten einen Ordner auf einem Testsystem und legten darin eine Schaddatei ab, die von der jeweiligen Antivirensoftware erkannt wurde. In dem kurzen Zeitraum zwischen Erkennen und Löschen beziehungsweise In-Quarantäne-Setzen ersetzten die Forscher den Ordner durch eine Weiterleitung auf einen anderen Ordner. Unter Linux und MacOS setzten sie einen Symlink und Windows eine Directory Junction.

Die Antivirenprogramme folgten der Weiterleitung und entfernten die entsprechenden Dateien in dem verlinkten Ordner. Da die Antivirenprogramme mit Root-Rechten laufen, konnten auch wichtige Systemdateien gelöscht werden - oder der Antivirensoftware selbst. Das Betriebssystem oder die Antivirensoftware konnte so unbenutzbar gemacht werden.

Nicht alle Antivirenprogramme haben die Sicherheitslücke behoben

Um die Sicherheitslücke ausnutzen zu können, muss ein Angreifer mit Benutzerrechten Dateien anlegen und Symlinks setzen können. Ansonsten sei der Angriff trivial, schreibt Rack911 Labs. Am schwierigsten sei es gewesen, den richtigen Zeitpunkt zwischen der Erkennung und dem Löschen der Dateien abzupassen. Zudem konnten aktuell verwendete Dateien unter Windows nicht gelöscht werden - allerdings löschten manche Antivirenprogramme die Dateien nach einem Neustart des Betriebssystems.

Entdeckt hatte Rack911 Labs die Sicherheitslücken seit 2018 in insgesamt 28 verschiedenen Antivirenprogrammen, darunter Software von Avast, Avira, Bitdefender, Eset, F-Secure, Fireeye, Kaspersky, Malwarebytes, McAfee und Sophos. Die meisten Firmen haben laut Rack911 Labs die Sicherheitslücken behoben, manche sogar ein Advisory herausgegeben. Wenige Hersteller, die die Sicherheitsfirma nicht nennt, hätten die Sicherheitslücke jedoch noch nicht geschlossen, obwohl sie über sechs Monate Zeit dafür gehabt hätten, schreibt Rack911 Labs. Daher habe sich die Sicherheitsfirma nun dazu entschlossen, die Lücke mitsamt Proof-of-Concept-Code zu veröffentlichen.