(Bild: BullGuard)
Mehrere Antiviren-Anwendungen von BullGuard und Panda weisen eine Sicherheitslücke auf, über die Angreifer die Schutzfunktionen deaktivieren können.
Verschiedene Antiviren-Programme von BullGuard und Panda für Windows-Computer sind über den gleichen Angriffsweg verwundbar, Angreifer können die Anwendungen stilllegen. Die Schwachstelle entdeckte der Sicherheitsforscher Matthias Deeg von der SySS GmbH bereits im März dieses Jahres. Deeg zufolge hat Panda die Lücke noch nicht geschlossen. BullGuard soll aktuell an einem Patch arbeiten.
Die Schwachstelle schlummert Deeg zufolge in der Passwort-Abfrage der Anwendungen. Selbst ein Nutzer mit nur eingeschränkten Rechten könne die Abfrage umgehen und hat so Zugriff auf die Einstellungen. An dieser Stelle befindet sich auch die Option zur Deaktivierung der Schutzfunktionen.
Um die Passwort-Abfrage auszuhebeln hat Deeg mit einem selbst entwickelten Tool laufende Instanzen der Sicherheits-Anwendungen manipuliert. Dabei patchte er die Routine zum Abgleich des eingetippten Passworts und konnte sich anschließend mit einem willkürlich gewählten Passwort Zugang zu den Optionen verschaffen. Mit dieser Methode konnte Deeg zudem das korrekte Passwort im Klartext einsehen.
Seinen Angaben zufolge sei der Prozess auch automatisierbar. Demnach wäre es vorstellbar, dass ein einmal gestarteter Trojaner die Schutz-Software deaktiviert. (des)