Forscher schleusen Schadsoftware an Windows Defender vorbei

Forscher schleusen Schadsoftware an Windows Defender vorbei

Forscher schleusen Schadsoftware an Windows Defender vorbei

Der Sicherheitsanbieter CyberArk hat einen Bug in Windows Defender gefunden, der es erlaubt, Schadsoftware unerkannt an der in Windows integrierten Sicherheitslösung vorbei in ein System zu schleusen. Diese Sicherheitslücke kann mithilfe eines speziell präparierten SMB-Servers ausgenutzt werden, der den Windows Defender dazu bringt, statt der gefährlichen eine harmlose Datei zu scannen und anschließend die Ausführung der schädlichen Datei zuzulassen. Die Schwachstelle wird von Microsoft nicht als Schwachstelle eingestuft.
Bei Illusion Gap, wie die Forscher Doron Naim und Kobi Ben Naim ihre Angriffstechnik nennen, muss ein Nutzer wie bei vielen Angriffen dazu verleitet werden, eine schädliche Datei auszuführen. Zudem muss die Datei auf einem Cyberkriminellen kontrollierten SMB-Server liegen.

Vorgehensweise bei der Ausnutzung der Sicherheitslücke

Im Normalfall scannt Windows Defender jede Datei vor ihrer Ausführung. Gleichzeitig erstellt der Windows PE Loader einen Prozess für die Ausführung der Datei. Der SMB-Server ist jedoch aufgrund des Fehlers in der Lage, dem PE Loader und Windows Defender verschiedene Versionen einer ausführbaren Datei zu übergeben. Während Defender die harmlose Variante erhält, übergibt der SMB-Server dem PE Loader die schädliche Datei. Da Defender die harmlose Datei als solche erkennt, führt der PE Loader schließlich die Schadsoftware aus.

Angreifer können laut Ben Naim, sobald diese eine schädliche Datei in der Freigabe abgelegt haben, kontrollieren, welche Datei Windows Defender darüber informiert, dass sie ausgeführt werden soll. Der SMB-Server könne erkennen, ob er die Anfrage vom Betriebssystem oder von Windows Defender erhalte. Laut Ben Naim kann der Angreifer eine harmlose statt einer gefährlichen Datei übergeben, sobald der Angreifer feststellt, dass Windows Defender eine Datei lesen will. Das Betriebssystem führt die Schadsoftware am Ende aus.
Die Forscher entwickelten ein Skript, das die Anfrage von Windows Defender blockiert. Dies führt dazu, dass Windows Defender keine Datei scannt und das Betriebssystem trotzdem die schädliche Datei startet.

Mögliche Auswirkungen der Sicherheitslücke

Auf Nachfrage von ThreatPost erklärte Microsoft, dass die beschriebene Technik sich in der Praxis nur beschränkt einsetzen ließe. Ein Angreifer müsse einen Nutzer zuerst davon überzeugen, der Ausführung einer unbekannten Datei aus seiner nicht vertrauenswürdigen Quelle zuzustimmen. Außerdem müsse das Opfer mehrere Warnungen wegklicken, um dem Angreifer Administratorrechte zu gewähren. Sogar wenn dies gelänge, seien Windows Defender und auch Windows Defender Advanced Threat Protection in der Lage, weitere Aktionen der Angreifer zu erkennen.

CyberArk schließt nicht aus, dass das Problem auch die Sicherheitslösungen anderer Hersteller betreffen kann. Laut CyberArk könne man, wenn man in der Lage ist zu erkennen, welche Anfragen von einer Antivirensoftware kommen und welche von Windows, denselben Trick auch bei anderen Antivirenlösungen einsetzen.

Die incoperating als Partner bezüglich IT-Sicherheit

Wenn Sie sich Gedanken zum Thema IT-Sicherheit machen, bieten wir Ihnen dahingehend unsere kompetente Beratung an. Die incoperating ist in den Bereichen IT-Sicherheit, IT-Support, Firewalls, Anti-Viren Software, Benutzerverwaltung und weiteren Bereichen mit ihrem Leistungsportfolio vertreten. Unsere Partner Sophos, Bitdefender und Microsoft bieten hier hochqualitative Lösungen. Grundsätzlich ist es so, dass wir von der Nutzung des Windows Defenders abraten und die Antiviren-Lösungen von Bitdefender bei unseren Kunden einsetzen. Dies ist allgemein in der zu niedrigen Erkennungsrate des Windows Defenders begründet. Nehmen Sie jederzeit bei Bedarf unser kostenloses, unverbindliches IT-Infrastruktur Audit in Anspruch, mit welchem Sie unsere Services vorab kennenlernen können.

Originalartikel: http://www.zdnet.de/88313969/zero-day-luecke-forscher-schleusen-schadsoftware-an-windows-defender-vorbei/?inf_by=59cce884681db8b9688b4640