ComputerBase Menü
Aktuelles

Warnung vor der „DoubleAgent“ Lücke

da habe gestern schon eine Mail bekommen, da wurde aber weniger AV aufgelistet
 
AV und Windows sollten ja generell immer auf dem aktuellsten Stand sein :freaky:
 
ComputerBILD ist halt doch BILD...

Ich werf mal den gleichen Artikel von heise ins Boot, der das ganze schon wesentlich anders formuliert

Zusammengefasst: Die "Lücke" ist keine Lücke, sondern das soll so sein und es gibt "Protected Processes" um sich davor zu schützen
 
Nützt nur nichts, wenn AV-Hersteller "Protected Processes" kaum bis gar nicht nutzen.

Von allen Sicherheitsprodukten verwendet nur Windows Defender derzeit geschützte Prozesse.
Zum Vergrößern anklicken....
https://www.bleepingcomputer.com/ne...cation-verifier-to-hijack-antivirus-software/

Im Kontext von Antivirus-Programmen macht dies einen erfolgreichen Angriff besonders gravierend, weil ein Angreifer auch nach einer scheinbaren Bereinigung eines Systems weiterhin die Kontrolle innehaben kann. Insbesondere sei nochmals darauf hingewiesen, dass die meisten der bekannten Antivirus-Anwendungen den von Microsoft empfohlenen 'Protected Processes'-Schutzmechanismus, durch den sichergestellt werden soll dass nur vertrauenswürdiger signierter Code nachgeladen wird, bislang nicht implementiert haben.
Zum Vergrößern anklicken....
https://www.cert-bund.de/advisoryshort/CB-K17-0491 UPDATE 1
 
Na ja, so ein wenig möchte Eset dann vielleicht noch was tun. Erst gestern hat Cybellum noch vorgeführt das doch nicht alle Prozesse so geschützt sind.

28696829dp.png

Obwohl ESET es die meiste Zeit geschafft hat seine entscheidenden Schlüssel (ekrn.exe und egui.exe) zu schützen, blieb eine offene Tür für Angreifer um direkt ekrn.exe und egui.exe anzugreifen.
Wir sind nicht sicher warum dies geschieht, aber wir haben ein Video erstellt das einen ESET Registry Protection Bypass mit DoubleAgent demonstriert. Dieses Video wurde vor ein paar Minuten gemacht, so dass es offensichtlich Auswirkungen auf die neueste Version von ESET hat.
Zum Vergrößern anklicken....

Hersteller-Statements:
Avast: "Wir haben das Update zum Zeitpunkt der Berichterstattung umgesetzt und können daher bestätigen, dass sowohl die Produkte von Avast als auch AVG 2017 nicht anfällig sind...Im Übrigen bewerte man die Gefahr dieses Exploit als niedrig und Cybellums Betonung auf das Risiko als übertrieben."
Zum Vergrößern anklicken....

Avira: "Die Forschung von Avira hat bestätigt das die Avira Antivirus Pro Prozesse, die für alle Erkennungs- und Schutzaufgaben verantwortlich sind, vom DoubleAgent PoC nicht beeinflusst werden können. Es betrifft höchstens einige untergeordnete Prozesse, die nicht über hohe Privilegien oder Rechte verfügen. Unser Entwicklungsteam hat diesen potenziellen Angriffsvektor bereits überprüft und arbeitet an einem Patch, um dieses Problem zu lösen. Der Patch wird im nächsten großen Produkt-Update veröffentlicht."
Zum Vergrößern anklicken....

Bitdefender: "Alle Bitdefender-Produkte die vom Designfehler in Microsoft Application Verifier-Tool betroffen sind, werden nächste Woche aktualisiert. Wir möchten hervorheben, dass dies keine Anfälligkeit in den Lösungen von Bitdefender ist."
Zum Vergrößern anklicken....

ESET: "ESET-Technologieteams haben eine vollständige Analyse der Sicherheitsanfälligkeit durchgeführt und ESET-Produkte für Windows identifiziert, wo diese Technik möglicherweise angewendet werden könnte. ESET hat das Update für diese Sicherheitsanfälligkeit abgeschlossen. Details finden Sie in unserer Kundenberatung. Es sollte betont werden, dass die Schwere dieser Verwundbarkeit als sehr gering angesehen wird."
Zum Vergrößern anklicken....

Kaspersky Lab: "Kaspersky Lab bedankt sich bei Cybellum Technologies LTD für die Entdeckung und Berichterstattung über die Sicherheitsanfälligkeit, die einen DLL-Hijacking-Angriff über ein undokumentiertes Feature von Microsoft Application Verifier ermöglicht hat. Die Erkennung und Sperrung dieses bösartigen Szenarios wurde allen Kaspersky Lab Produkten vom 22. März 2017 hinzugefügt."
Zum Vergrößern anklicken....

Symantec: "Nach der Untersuchung dieses Problems können wir bestätigen, dass dieser PoC keine Produktanfälligkeit innerhalb von Norton Security ausnutzt. Vielmehr nutzt der Angriff eine Schwäche im Betriebssystem. Norton Security ist mit zusätzlichen Erkennungen und Schutzmaßnahmen gehärtet, um diese Art von Angriff zu stoppen."
Zum Vergrößern anklicken....

Trend Micro: "Unsere Kunden sollten den Patch für Trend Micro Security Produkte wie Premium, Internet, Maximum, Antivirus + Versionen 11.1.1005 anwenden. Wir analysieren derzeit unsere kommerziellen Endpunktprodukte und geben Patches aus, wenn wir einen Grund dafür finden."
Zum Vergrößern anklicken....

Im Process Explorer (View->Select Columns->Process Image->Protection Checkbox) kann jeder sebst überprüfen welche Prozesse im "Protected Processes" laufen.

28697261xs.png

Defender (PsProtectedSignerAntimalware-Light)


 
Zuletzt bearbeitet:
Woher hast du das alles?

Bei Eset habe ich das auf Englisch gefunden.

http://support.eset.com/ca6376/?locale=en_US&viewlocale=en_US

Ich habe mal den Google-Übersetzer drüber laufen lassen. Das hier soll die Lösung sein.

Lösung

ESET implementiert nach und nach zusätzliche Sicherheitsschichten, die Angriffe auf das Betriebssystem oder das Sicherheitsprodukt selbst verhindern. In allen ESET-Produkten für Windows seit Version 4 ist unsere Self-Defense-Funktion standardmäßig aktiviert. Diese Funktion verhindert die Änderung der Registrierungsschlüssel für unsere Schlüsselprozesse und das neueste Update auf HIPS-Modul Version 1273, veröffentlicht am 23. März 2017, hat das gleiche Level hinzugefügt Des Schutzes für zusätzliche ESET-Prozesse, die missbraucht werden könnten, um böswillige Bibliotheken zu laden. Das Update auf das Modul wird an alle Benutzer automatisch verteilt, so dass es keine Notwendigkeit gibt, etwas herunterzuladen oder zu installieren.

Hinweis: Bei der ersten Installation Ihres Windows ESET-Produkts ist ein Neustart des Computers erforderlich, damit der Self-Defense-Schutz vollständig integriert werden kann.

Darüber hinaus nutzt der Haupt-ESET-Prozess ekrn.exe den so genannten Protected Service in der neuesten Version 10 von ESET Consumer-Produkten ab Windows 8.1 und ist daher nicht möglich, diese Art und Weise auf den genannten Windows-Versionen auszunutzen. Das gleiche Maß an Schutz kommt in der kommenden Version zur Endpunktlinie unserer Produkte.
Zum Vergrößern anklicken....
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

G
Windows 10 Reset
Antworten
11
Aufrufe
892
time-machine
time-machine
D
Update fehler (0x800f0805) und (0x80070643)
Antworten
10
Aufrufe
738
nobby_a
N
kim88
Leserartikel WSL2: Eine Brücke zwischen Windows und Linux – Einblick aus der Perspektive eines Linux-Nutzers
Antworten
18
Aufrufe
4.673
0815burner
0815burner
M.(to_the)K.
etoro Diamond Status? Geld kurz Überweisen und wieder abziehen?
Antworten
3
Aufrufe
1.547
corsa222
C
R
Taskleisten Symbole verschieben (Überlaufmenü der Taskleiste)
Antworten
6
Aufrufe
1.835
rendegarf
R
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz