Schwachstellen in Sicherheitssoftware Hacker können Antiviren-Schutz ausschalten
Hacker haben einen Weg gefunden, Virenschutzprogramme auszuschalten. Sie nutzen dafür ausgerechnet eine Schwachstelle einer Sicherheitssoftware.
Sicherheitsforscher haben eine beunruhigende Entdeckung gemacht: Hacker können eine Schwachstelle in der Software von Avast ausnutzen, um Virenschutzprogramme auf befallenen Computern zu deaktivieren. Wie das Cybersicherheits-Unternehmen Trellix berichtet, nutzen die Angreifer dafür ausgerechnet einen legitimen Bestandteil der Avast-Software, der eigentlich dem Schutz des Systems dienen soll.
Weiter heißt es, dass die Schwachstelle bereits seit 2016 existiert, jedoch erst seit 2021 aktiv für Angriffe ausgenutzt wird. Das Problem stecke demnach in einem speziellen Treiber der Avast-Software, der tief im Betriebssystem arbeitet.
Der Angriff und seine Folgen
Die Hacker verwenden ein Schadprogramm, das den Avast-Treiber auf dem Computer installiert und für seine Zwecke missbraucht. Das Programm enthält eine Liste von 142 bekannten Sicherheitsprodukten, darunter Software von Microsoft Defender, McAfee und BlackBerry. Erkennt das Schadprogramm eines dieser Produkte, kann es dieses über den manipulierten Treiber ausschalten.
Besonders gefährlich ist dieser Angriff, weil er mit offiziellen Komponenten arbeitet. Das macht es für Sicherheitssysteme schwer, die schädlichen Aktivitäten zu erkennen. Die Angreifer nutzen sozusagen einen echten Schlüssel, um die Sicherheitssysteme zu überlisten.
Schutz und Vorbeugung
Microsoft hat auf diese Bedrohung reagiert und eine Schutzfunktion in Windows integriert. Diese sogenannte Vulnerable Driver Blocklist erkennt bekannte anfällige Treiber und blockiert sie. Seit Windows 11 2022 ist diese Funktion standardmäßig aktiviert und wird bei jedem größeren Update aktualisiert.
Die aktuelle Schwachstelle ist nicht die erste dieser Art. Bereits 2021 nutzten Cyberkriminelle ähnliche Methoden für Ransomware-Angriffe. Damals entdeckten Sicherheitsforscher von Sentinel Labs mehrere kritische Schwachstellen, die Avast durch Updates beheben musste.
- Dieser Text wurde teilweise mit maschineller Unterstützung erstellt und redaktionell geprüft. Wir freuen uns über Hinweise an t-online@stroeer.de.
- trellix.com: "When Guardians Become Predators: How Malware Corrupts the Protectors" (englisch)
- techradar.com: "Avast security tools hijacked in order to crack antivirus protection" (englisch)
- bleepingcomputer.com: "Hackers abuse Avast anti-rootkit driver to disable defenses" (englisch)
