Von Alexander Trust am 28.04.2020 (letztes Update: 06.05.2020).

Antivirus-Software für Windows, Linux und macOS löscht(e) Dateien

Wenn man feststellt, dass Antiviren-Software wichtige Dateien gelöscht hat
Wenn man feststellt, dass Antiviren-Software wichtige Dateien gelöscht hat, Bild: CC0

Wenn Nutzer in der Vergangenheit eine Antivirus-Software von Kaspersky Lab, Microsoft, McAfee, F-Secure, Sophos, Avira, Bitdefender oder anderen einsetzten, konnte es zum Supergau kommen. Schadsoftware konnte mit sogenannten Symlinks dafür sorgen, dass sogar reguläre Dateien auf den Computern gelöscht wurden.

Seit 2018 begaben sich die IT-Spezialisten von Rack911 Labs auf die Suche nach Antivirensoftware, die über ein- und dieselbe Schwachstelle verfügte.

Antivirensoftware mit Schwachstelle

Tatsächlich nutzte Rack911 Labs die Vorgehensweise der Apps aus. Viele Antivirenprogramme „scannen“ die Festplatte und analysieren neue Dateien. Stellt das Virus-Tool dabei fest, dass eine Datei möglicherweise gefährlich ist, wird sie in Quarantäne verschoben und der Nutzer informiert, er könnte die Datei auch direkt löschen, sollte es am besten auch.

Mit Symlinks manipulieren

Nun konnte man jedoch einen Fehler im System ausnutzen, der sogenannte „Symlinks“ verwendete, um auf andere Dateien zu verweisen. Unter Windows gibt es „Pfad-Verknüpfungen“ (engl. directory junctions), unter macOS und Linux gibt es überdies noch „symbolische Verknüpfungen“. Solche „symbolischen Links“ und Pfad-Verknüpfungen konnten offenbar auf einfache Weise zur Manipulation von Antivirensoftware eingesetzt werden.

Während das Antiviren-Tool also glaubte, richtig zu handeln, löschte es am Ende womöglich reguläre und wichtige Dateien. Rack911 Labs beschreibt die Methode als einzigartig aber auch unheimlich simpel.

Zeitkorridor nutzen

Zwischen dem Zeitpunkt, an dem das Virus-Tool eine vermeintliche schadvolle Datei erkennt und sie dann aber auch bearbeitet, vergeht mal mehr, mal weniger Zeit. Malware-Autoren können diese Zeit nutzen, um über symbolische Verknüpfungen am Ende sogar die Antiviren-Software auszuhebeln. Schlimmstenfalls wäre, wenn Systemdateien gelöscht würden, eine komplette Neuinstallation notwendig. Heise nennt dies einen ungewollten Selbstzerstörungsmodus.

Unter Windows konnten Dateien, die im Gebrauch waren, nicht gelöscht werden. Sehr wohl löschten manche Viren-Tools diese dann aber beim nächsten Neustart, wie Rack911Labs erklärt.

Das Vertrauen in Antivirus-Apps

Einerseits zeigt der Vorfall, dass das Vertrauen in Antivirus-Software Schaden nehmen kann. Es zeigt aber außerdem, dass das grundsätzliche Vertrauen der Systeme in solche Apps problematisch ist. Denn bei der Installation erbeten diese viele privilegierte Rechte, die ihnen dann erlauben Dateiaktionen auszuführen, selbst wenn sie keine Root- oder Admin-Rechte haben.

Betroffen? Das Who-is-who der Branche

Zur Wahrheit gehört natürlich außerdem, dass nicht etwa schäbige Anti-Malware-Tools betroffen sind/waren, sondern vielmehr Apps namhafter Hersteller wie Sophos, Kaspersky Lab, Bitdefender und sogar Microsoft.

Das nachfolgende Video zeigt beispielsweise die Anwendung des Exploit mit McAfee Endpoint Security unter Windows.

Ein weiteres dokumentiert die Sicherheitslücke in Zusammenarbeit mit Norton Internet Security am Mac.

Die nachfolgende Auflistung an Software ist aus mehreren Gründen unvollständig. Zum einen bieten Hersteller Software unter unterschiedlichen Namen an, die aber die gleiche Technologie unter der Haube verwenden. Entsprechend könnten auch diese Apps betroffen sein. Zum anderen konnte Rack911 Labs nicht alle weltweit verfügbaren Tools testen. Doch die IT-Spezialisten haben im Nachgang auf Nachfrage auch weitere Tools überprüft, die ebenfalls das Problem aufwiesen. Im Ergebnis gibt es also eine hohe Dunkelziffer.

Welche Windows-Apps sind betroffen

Folgende Windows-Software ist/war betroffen:

  • Avast Free Anti-Virus
  • Avira Free Anti-Virus
  • BitDefender GravityZone
  • Comodo Endpoint Security
  • F-Secure Computer Protection
  • FireEye Endpoint Security
  • Intercept X (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes for Windows
  • McAfee Endpoint Security
  • Panda Dome
  • Webroot Secure Anywhere

Welche Mac-Apps sind betroffen

Folgende Mac-Software ist/war betroffen:

  • AVG
  • BitDefender Total Security
  • Eset Cyber Security
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (BETA)
  • Norton Security
  • Sophos Home
  • Webroot Secure Anywhere

Welche Linux-Software betroffen ist

Folgende Linux-Apps ist/war betroffen:

  • BitDefender GravityZone
  • Comodo Endpoint Security
  • Eset File Server Security
  • F-Secure Linux Security
  • Kaspersy Endpoint Security
  • McAfee Endpoint Security
  • Sophos Anti-Virus for Linux

Viele Apps bereits mit Updates

Rack911 Labs informiert darüber, dass es die Hersteller einzeln über die Schwachstellen der Apps informierte. „Viele“ hätten bereits Updates herausgebracht, die das Problem beheben. Dummerweise aber noch nicht „alle“. Um auf Nummer sicher zu gehen, muss man vermutlich selbst beim Anbieter der eigenen Antiviren-Software nachfragen.

Update: Avast/AVG kontaktierte uns. Man ließ uns wissen, dass die eigenen Apps nicht (mehr) von dem Szenario betroffen seien. Offenbar kontaktierte Rack911 Labs das Unternehmen im März 2019, im April 2019 wurde dann ein Update für die betroffenen Apps veröffentlicht. Der Hersteller hat außerdem keine Hinweise darauf, dass die beschriebene Lücke tatsächlich zur Anwendung kam.

„Das im Artikel beschriebene Szenario trifft nicht auf Avast und AVG Antivirus (Gratis- und Premium-Versionen) zu, da Checks, durchgeführt von Avast und AVG File Shield, den Angriff erkennen und blocken würden.“ (Avast)

Auch andere Software betroffen

Laut Rack911 Labs ist es denkbar, dass auch andere Apps das gleiche Problem haben im Umgang mit symbolische Verknüpfungen und auf diese Weise selbst zu Opfern dieses Exploits werden können. App-Entwickler sollten ihre Software daraufhin untersuchen.

Welcher Schaden ist entstanden?

Eine Frage, die Rack911 Labs unbeantwortet lässt, ist diejenige, ob durch diesen Fehler messbarer Schaden entstanden sein könnte. Die IT-Sicherheitsspezialisten haben einen Fehler entdeckt und geholfen, ihn zu beheben. Ob diese Lücke tatsächlich ausgenutzt wurde, und wenn ja, wie oft – diese Antwort bleibt man uns schuldig.

Sag jetzt deine Meinung!