Bei der Untersuchung einer Malware-Infektion auf einem Rechner stießen IT-Forscher auf eine Sicherheitslücke in Antivirensoftware, die Angreifer zum Ausführen von Schadcode missbraucht haben. Der Virenschutz hat damit erst die Ausführung der Malware ermöglicht.
Kaspersky hat eine Analyse der Malware veröffentlicht. Demnach stießen die IT-Forscher bei der Untersuchung von Vorfällen mit der ToddyCat-Malware auf eine verdächtige Datei namens „version.dll“ im temporären Verzeichnis auf mehreren Geräten. Es handelt sich um eine in C++ programmierte 64-Bit-DLL, die ein komplexes Tool mit dem Namen TCESB enthält. Die war für ToddyCat-Angriffe neu und ist dafür ausgelegt, unauffällig bösartige Payloads unter Umgehung von Schutz- und Überwachungssoftware auf den Geräten auszuführen.
Wer führt die DLL aus?
So eine DLL exportiert Funktionen und wird von einem anderen Programm eingebunden, das diese Funktionen aufruft. Bei der Suche nach Software, die diese Bibliothek einbindet und aufruft, sind Kasperskys Analysten auf eine Datei namens „ecls“ gestoßen. Ein bösartiger Akteur hat vermutlich fehlerhaft die Datei ohne Endung auf das System geschoben und nach dem Angriff nur die Version mit einem ausführbaren Dateisuffix gelöscht. Es stellte sich heraus, dass es sich um den Kommandozeilenscanner aus Esets Endpoint-Protection handelt, dem „Eset Command Line Scanner“.
Die weitere Untersuchung erbrachte die Erkenntnis, dass dieser Scanner auf unsichere Art und Weise die „version.dll“-Bibliothek lädt, indem sie als Erstes das aktuelle Verzeichnis und nachfolgend die Systemverzeichnisse danach durchsucht. Es handelt sich um eine klassische DLL-Hijacking-Schwachstelle.
Eset hat von Kaspersky einen Schwachstellenhinweis erhalten und mit einer eigenen Sicherheitsmitteilung am Wochenende darauf reagiert. Sie trägt den Titel „DLL-Suchreihenfolge-Hijacking-Schwachstelle in Eset-Produkten für Windows ausgebessert“. Darin räumt Eset die Sicherheitslücke ein, legt jedoch Wert auf den Hinweis, dass sie nicht zum Ausweiten der Rechte im System genutzt werden kann, sondern Angreifer zuvor bereits Admin-Rechte besitzen müssen (CVE-2024-11859, CVSS 6.8, Risiko „mittel„). Die Risikoeinstufung verpasst den Status „hoch“ nur um Haaresbreite.
Software-Updates stehen bereit, es sind diverse Produkte aus Esets Portfolio betroffen. Die fehlerkorrigierten Programme sind Eset NOD32 Antivirus, Eset Internet Security, Eset Smart Security Premium, Eset Security Ultimate 18.1.10.0, Eset Endpoint Antivirus for Windows und Eset Endpoint Security for Windows 12.0.2045.0 sowie 11.1.2059.0, Eset Small Business Security und Eset Safe Server 18.1.10.0, Eset Server Security for Windows Server (zuvor File Security for Microsoft Windows Server) 11.1.12009.0, Eset Mail Security for Microsoft Exchange Server 11.1.10011.0, 11.0.10010.0, 10.1.10017.0 und schließlich Eset Security for Microsoft SharePoint Server 11.1.15003.0, 11.0.15007.0, 10.0.15008.0 sowie jeweils neuere Versionen. Eset-Programme, die keinen Support mehr erhalten, listet der Hersteller nicht weiter auf; wer also ältere Versionen der Schutzsoftware einsetzt, sollte dringend auf die noch unterstützten Versionen aktualisieren.
Dass Antivirensoftware wie alle anderen Programme auch gelegentlich Sicherheitslücken aufweist, ist erwartbar. So wurde am Montag dieser Woche eine kritische Sicherheitslücke in Bitdefenders Business-Schutzsoftware GravityZone bekannt. Dass Angreifer sie jedoch tatsächlich zum Ausführen von Malware missbrauchen, wird eher selten bekannt.
(dmk)