Der Sicherheitsanbieter CyberArk hat einen Bug in Windows Defender gefunden, der es erlaubt, Schadsoftware unerkannt an der in Windows integrierten Sicherheitslösung vorbei in ein System einzuschleusen. Die Sicherheitslücke lässt sich mithilfe eines speziell präparierten SMB-Servers ausnutzen, der Windows Defender dazu bringt, statt der gefährlichen eine harmlose Datei zu scannen und anschließend die Ausführung der schädlichen Datei zuzulassen. Microsoft selbst stuft den Fehler allerdings nicht als Schwachstelle ein.
Normalerweise wird jede Datei, bevor sie unter Windows ausgeführt wird, von Windows Defender gescannt. Zugleich erstellt der Windows PE Loader einen Prozess für die Ausführung dieser Datei. Der SMB-Server ist jedoch aufgrund des Fehlers in der Lage, dem PE Loader und Windows Defender unterschiedliche Versionen einer ausführbaren Datei zu übergeben: Während Defender die harmlose Variante erhält, übergibt der SMB-Server dem PE Loader die schädliche Datei. Da Defender die harmlose Datei als solche erkennt, führt der PE Loader schließlich die Schadsoftware aus.
„Sobald ein Angreifer eine schädliche Datei in der Freigabe ablegt, kann der Angreifer kontrollieren, welche Datei Windows Defender darüber informiert, dass sie ausgeführt werden soll“, zitiert ThreatPost Ben Naim. Der SMB-Server könne erkennen, ob er die Anfrage vom Betriebssystem oder von Windows Defender erhalte. „Sobald der Angreifer feststellt, dass Windows Defender eine Datei lesen will, kann er eine harmlose statt einer gefährlichen Datei übergeben. Die Datei, die am Ende des Verfahrens vom Betriebssystem ausgeführt wird, ist die schädliche Datei.“
Alternativ entwickelten die Forscher ein Skript, das die Anfrage von Windows Defender blockiert. Es führt dazu, dass Windows Defender keine Datei scannt und das Betriebssystem trotzdem die schädliche Datei startet.
„Die beschriebene Technik lässt sich in der Praxis nur beschränkt einsetzen“, erklärte Microsoft auf Nachfrage von ThreatPost. Ein Angreifer müsse einen Nutzer zuerst davon überzeugen, der Ausführung einer unbekannten Datei aus einer nicht vertrauenswürdigen Quelle zuzustimmen. Das Opfer müsse zudem mehrere Warnungen wegklicken, um dem Angreifer Administratorrechte zu gewähren. Selbst wenn dies gelänge, seien Windows Defender und auch Windows Defender Advanced Threat Protection in der Lage, weitere Aktionen der Angreifer zu erkennen.
CyberArk schließt nicht aus, dass das Problem auch Sicherheitslösungen anderer Hersteller betrifft. „Wenn man in der Lage ist zu erkennen, welche Anfragen von einer Antivirensoftware kommen und welche von Windows, kann man denselben Trick auch bei anderen Antivirenlösungen anwenden.“
Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.
Tipp: Wie gut kennen Sie Windows 10? Machen Sie den Test in unserem Quiz auf silicon.de!
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
