Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Illusion GAP: SMB-basierter Angriff trickst Windows Defender aus

29.09.2017

 zur Newsdatenbank home

Eine Besonderheit des SMB-Protokolls im Umgang mit Dateiaufrufen könnte von Angreifern missbraucht werden, um den Windows Defender auszutricksen und Schadcode auszuführen.

Die Vorgehensweise wird in einem Blogeintrag von Forschern der IT-Sicherheitsfirma CyberArk beschrieben. Um die "Illusion Gap" getaufte Technik zur Ausführung zu bringen, müssen zunächst eine saubere und eine mit Schadcode präparierte .exe-Datei auf einem speziell konfigurierten SMB-Server platziert werden. Ob der Server für einen erfolgreichen Angriff Teil des lokalen Netzwerks sein muss, geht aus den Ausführungen des Forscherteams nicht hervor.

Nicht nur eine spezielle Konfiguration des SMB-Servers, sondern auch Social Engineering wird von IIllusion Gap erfordert. Der Angreifer muss zunächst das Opfer dazu bringen, die schädliche Datei auf dem Server auszuführen. Das könnte zum Beispiel über einen präparierten Shortcut passieren.

Standardmäßig klinkt sich der Windows Defender ein, bevor der PE-Loader den Prozess auf dem Rechner des Opfers startet. Da ihm die Datei bislang unbekannt ist, fordert er vom Server eine Kopie zwecks Scan an. Das SMB-Protokoll kann zwischen beiden Dateiaufrufen unterscheiden. Dies nutzen die Forscher mittels Serverkonfiguration aus. Dem Defender wird die "saubere" exe-Datei untergejubelt, um sein OK zum Start durch den Loader zu erhalten. Der Windows Defender kann sogar dazu gebracht werden erst gar nicht zu scannen. In beiden Fällen schnappt die Illusion-Gap-Falle zu. Der Loader erhält im nächsten Schritt die zweite, schädliche Datei und führt diese ohne jegliches Einschreiten des Defenders auf dem angegriffenen System aus.

Möglicherweise lassen sich mit Illusion Gap auch andere AV-Engines aushebeln. Getestet wurde dies jedoch noch nicht. Die Forscher haben Microsoft darauf hingewiesen. Microsoft sieht in Illusion Gap kein akutes Sicherheitsproblem, leitete den Sachverhalt aber dennoch an das zuständige Entwicklerteam weiter.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89