Fehler in PowerShell Core: Angreifer könnten Windows Defender austricksen
Microsoft hat einen als "wichtig" eingestuften Sicherheitspatch für PowerShell Core veröffentlicht. Ein Angriff gelingt aber nicht ohne Weiteres.
Wer unter Windows PowerShell Core nutzt, sollte aus Sicherheitsgründen eine der aktualisierten Versionen installieren. Ansonsten könnte ein Angreifer unter gewissen Umständen eigenen Code ausführen. Die Sicherheitspatches sind mit der Auszeichnung "wichtig" versehen.
Die Sicherheitslücke (CVE-2019-1167) findet sich im Core-Constrained-Language-Modus von PowerShell Core, erläutert Microsoft in einer Sicherheitswarnung. Um dort anzusetzen, benötigt ein Angreifer aber Admin-Rechte und lokalen Zugriff auf einen verwundbaren Computer.
Schutzfunktion umgangen
Klappt alles, könnte ein Angreifer die Sicherheitsfunktion Windows Defender Application Control (WDAC) umgehen. Diese sorgt eigentlich dafür, dass nur vertrauenswürdige Applikationen und Treiber unter Windows laufen dürfen.
Betroffen sind die PowerShell-Core-Versionen 6.1 und 6.2. Abgesichert sind die Ausgaben 6.1.5 und 6.2.2. Wer den Befehl pwsh -v in der Eingabeaufforderung eingibt, kann die installierte Ausgabe prüfen. Auf einer Website gibt Microsoft Tipps zur Installation von PowerShell.
(des)
