{"id":18530,"date":"2025-04-09T15:07:11","date_gmt":"2025-04-09T15:07:11","guid":{"rendered":"https:\/\/www.europesays.com\/de\/18530\/"},"modified":"2025-04-09T15:07:11","modified_gmt":"2025-04-09T15:07:11","slug":"toddycat-malware-nutzt-sicherheitsleck-in-antivirensoftware","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/18530\/","title":{"rendered":"ToddyCat: Malware nutzt Sicherheitsleck in Antivirensoftware"},"content":{"rendered":"<p>Bei der Untersuchung einer Malware-Infektion auf einem Rechner stie\u00dfen IT-Forscher auf eine Sicherheitsl\u00fccke in <a href=\"https:\/\/www.heise.de\/thema\/Virenscanner\" target=\"_blank\" rel=\"noopener\">Antivirensoftware<\/a>, die Angreifer zum Ausf\u00fchren von Schadcode missbraucht haben. Der Virenschutz hat damit erst die Ausf\u00fchrung der Malware erm\u00f6glicht.<\/p>\n<p>Kaspersky hat eine <a href=\"https:\/\/securelist.com\/toddycat-apt-exploits-vulnerability-in-eset-software-for-dll-proxying\/116086\/\" rel=\"external noopener\" target=\"_blank\">Analyse der Malware<\/a> ver\u00f6ffentlicht. Demnach stie\u00dfen die IT-Forscher bei der Untersuchung von Vorf\u00e4llen mit der ToddyCat-Malware auf eine verd\u00e4chtige Datei namens &#8222;version.dll&#8220; im tempor\u00e4ren Verzeichnis auf mehreren Ger\u00e4ten. Es handelt sich um eine in C++ programmierte 64-Bit-DLL, die ein komplexes Tool mit dem Namen TCESB enth\u00e4lt. Die war f\u00fcr ToddyCat-Angriffe neu und ist daf\u00fcr ausgelegt, unauff\u00e4llig b\u00f6sartige Payloads unter Umgehung von Schutz- und \u00dcberwachungssoftware auf den Ger\u00e4ten auszuf\u00fchren.<\/p>\n<p>Wer f\u00fchrt die DLL aus?<\/p>\n<p>So eine DLL exportiert Funktionen und wird von einem anderen Programm eingebunden, das diese Funktionen aufruft. Bei der Suche nach Software, die diese Bibliothek einbindet und aufruft, sind Kasperskys Analysten auf eine Datei namens &#8222;ecls&#8220; gesto\u00dfen. Ein b\u00f6sartiger Akteur hat vermutlich fehlerhaft die Datei ohne Endung auf das System geschoben und nach dem Angriff nur die Version mit einem ausf\u00fchrbaren Dateisuffix gel\u00f6scht. Es stellte sich heraus, dass es sich um den Kommandozeilenscanner aus Esets Endpoint-Protection handelt, dem &#8222;Eset Command Line Scanner&#8220;.<\/p>\n<p>Die weitere Untersuchung erbrachte die Erkenntnis, dass dieser Scanner auf unsichere Art und Weise die &#8222;version.dll&#8220;-Bibliothek l\u00e4dt, indem sie als Erstes das aktuelle Verzeichnis und nachfolgend die Systemverzeichnisse danach durchsucht. Es handelt sich um eine klassische DLL-Hijacking-Schwachstelle.<\/p>\n<p>Eset hat von Kaspersky einen Schwachstellenhinweis erhalten und mit <a href=\"https:\/\/support.eset.com\/en\/ca8810-dll-search-order-hijacking-vulnerability-in-eset-products-for-windows-fixed\" rel=\"external noopener\" target=\"_blank\">einer eigenen Sicherheitsmitteilung<\/a> am Wochenende darauf reagiert. Sie tr\u00e4gt den Titel &#8222;DLL-Suchreihenfolge-Hijacking-Schwachstelle in Eset-Produkten f\u00fcr Windows ausgebessert&#8220;. Darin r\u00e4umt Eset die Sicherheitsl\u00fccke ein, legt jedoch Wert auf den Hinweis, dass sie nicht zum Ausweiten der Rechte im System genutzt werden kann, sondern Angreifer zuvor bereits Admin-Rechte besitzen m\u00fcssen (CVE-2024-11859, CVSS <strong>6.8<\/strong>, Risiko &#8222;<strong>mittel<\/strong>&#8222;). Die Risikoeinstufung verpasst den Status &#8222;hoch&#8220; nur um Haaresbreite.<\/p>\n<p>Software-Updates stehen bereit, es sind diverse Produkte aus Esets Portfolio betroffen. Die fehlerkorrigierten Programme sind Eset NOD32 Antivirus, Eset Internet Security, Eset Smart Security Premium, Eset Security Ultimate <strong>18.1.10.0<\/strong>, Eset Endpoint Antivirus for Windows und Eset Endpoint Security for Windows <strong>12.0.2045.0<\/strong> sowie <strong>11.1.2059.0<\/strong>, Eset Small Business Security und Eset Safe Server <strong>18.1.10.0<\/strong>, Eset Server Security for Windows Server (zuvor File Security for Microsoft Windows Server) <strong>11.1.12009.0<\/strong>, Eset Mail Security for Microsoft Exchange Server <strong>11.1.10011.0<\/strong>, <strong>11.0.10010.0<\/strong>, <strong>10.1.10017.0<\/strong> und schlie\u00dflich Eset Security for Microsoft SharePoint Server <strong>11.1.15003.0<\/strong>, <strong>11.0.15007.0<\/strong>, <strong>10.0.15008.0<\/strong> sowie jeweils neuere Versionen. Eset-Programme, die keinen Support mehr erhalten, listet der Hersteller nicht weiter auf; wer also \u00e4ltere Versionen der Schutzsoftware einsetzt, sollte dringend auf die noch unterst\u00fctzten Versionen aktualisieren.<\/p>\n<p>Dass Antivirensoftware wie alle anderen Programme auch gelegentlich Sicherheitsl\u00fccken aufweist, ist erwartbar. So wurde am Montag dieser Woche eine kritische Sicherheitsl\u00fccke in Bitdefenders Business-Schutzsoftware GravityZone bekannt. Dass Angreifer sie jedoch tats\u00e4chlich zum Ausf\u00fchren von Malware missbrauchen, wird eher selten bekannt.<\/p>\n<p>(<a class=\"redakteurskuerzel__link\" href=\"https:\/\/www.heise.de\/news\/mailto:dmk@heise.de\" title=\"Dirk Knop\" target=\"_blank\" rel=\"noopener\">dmk<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"Bei der Untersuchung einer Malware-Infektion auf einem Rechner stie\u00dfen IT-Forscher auf eine Sicherheitsl\u00fccke in Antivirensoftware, die Angreifer zum&hellip;\n","protected":false},"author":2,"featured_media":18531,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135],"tags":[11847,29,11848,30,196,11849,11850,190,189,1687,4970,10312,194,191,637,193,192],"class_list":{"0":"post-18530","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-antivirus","9":"tag-deutschland","10":"tag-eset","11":"tag-germany","12":"tag-it","13":"tag-kaspersky","14":"tag-malware","15":"tag-science","16":"tag-science-technology","17":"tag-security","18":"tag-sicherheitsluecken","19":"tag-sicherheitsupdates","20":"tag-technik","21":"tag-technology","22":"tag-virus","23":"tag-wissenschaft","24":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@de\/114308634869818108","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/18530","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=18530"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/18530\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/18531"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=18530"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=18530"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=18530"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}