Zero-Day-Lücke: Forscher schleusen Schadsoftware an Windows Defender vorbei

Der Sicherheitsanbieter CyberArk hat einen Bug in Windows Defender gefunden, der es erlaubt, Schadsoftware unerkannt an der in Windows integrierten Sicherheitslösung vorbei in ein System einzuschleusen. Die Sicherheitslücke lässt sich mithilfe eines speziell präparierten SMB-Servers ausnutzen, der Windows Defender dazu bringt, statt der gefährlichen eine harmlose Datei zu scannen und anschließend die Ausführung der schädlichen Datei zuzulassen. Microsoft selbst stuft den Fehler allerdings nicht als Schwachstelle ein.

Wie bei vielen Angriffen muss auch bei Illusion Gap – so nennen die Forscher Doron Naim und Kobi Ben Naim ihre Angriffstechnik – ein Nutzer zuerst dazu verleitet werden, eine schädliche Datei auszuführen. Diese Datei muss zudem auf einem von Cyberkriminellen kontrollierten SMB-Server liegen.

Normalerweise wird jede Datei, bevor sie unter Windows ausgeführt wird, von Windows Defender gescannt. Zugleich erstellt der Windows PE Loader einen Prozess für die Ausführung dieser Datei. Der SMB-Server ist jedoch aufgrund des Fehlers in der Lage, dem PE Loader und Windows Defender unterschiedliche Versionen einer ausführbaren Datei zu übergeben: Während Defender die harmlose Variante erhält, übergibt der SMB-Server dem PE Loader die schädliche Datei. Da Defender die harmlose Datei als solche erkennt, führt der PE Loader schließlich die Schadsoftware aus.

„Sobald ein Angreifer eine schädliche Datei in der Freigabe ablegt, kann der Angreifer kontrollieren, welche Datei Windows Defender darüber informiert, dass sie ausgeführt werden soll“, zitiert ThreatPost Ben Naim. Der SMB-Server könne erkennen, ob er die Anfrage vom Betriebssystem oder von Windows Defender erhalte. „Sobald der Angreifer feststellt, dass Windows Defender eine Datei lesen will, kann er eine harmlose statt einer gefährlichen Datei übergeben. Die Datei, die am Ende des Verfahrens vom Betriebssystem ausgeführt wird, ist die schädliche Datei.“

Alternativ entwickelten die Forscher ein Skript, das die Anfrage von Windows Defender blockiert. Es führt dazu, dass Windows Defender keine Datei scannt und das Betriebssystem trotzdem die schädliche Datei startet.

„Die beschriebene Technik lässt sich in der Praxis nur beschränkt einsetzen“, erklärte Microsoft auf Nachfrage von ThreatPost. Ein Angreifer müsse einen Nutzer zuerst davon überzeugen, der Ausführung einer unbekannten Datei aus einer nicht vertrauenswürdigen Quelle zuzustimmen. Das Opfer müsse zudem mehrere Warnungen wegklicken, um dem Angreifer Administratorrechte zu gewähren. Selbst wenn dies gelänge, seien Windows Defender und auch Windows Defender Advanced Threat Protection in der Lage, weitere Aktionen der Angreifer zu erkennen.

CyberArk schließt nicht aus, dass das Problem auch Sicherheitslösungen anderer Hersteller betrifft. „Wenn man in der Lage ist zu erkennen, welche Anfragen von einer Antivirensoftware kommen und welche von Windows, kann man denselben Trick auch bei anderen Antivirenlösungen anwenden.“

Tipp: Wie gut kennen Sie Windows 10? Machen Sie den Test in unserem Quiz auf silicon.de!