Virenschutz: Microsoft Defender erleichtert Einnisten von Schädlingen
Eine kleine Schwachstelle bei Zugriffsrechten des Microsoft Defender unter Windows 10 ermöglicht Angreifern, Malware vor Scans zu verstecken.
(Bild: Skorzewiak/Shutterstock.com)
Durch eine laxe Rechtevergabe macht es Microsoft Defender Eindringlingen unnötig einfach, Schadsoftware vor künftigen Scans zu verstecken und so einer Entdeckung zu entgehen. Die Ursache ist, dass jeder angemeldete Nutzer an einem System mit einem einfachen Befehl die Liste der Scan-Ausnahmen des Microsoft-Virenschutzes auslesen kann. Platziert ein Einbrecher Malware in so einem Verzeichnis, spürt der Defender sie auch in Zukunft nicht auf. Ob Cyberkriminelle das bereits ausgenutzt haben, ist nicht bekannt.
Der IT-Sicherheitsforscher Antonio Cocomazzi von SentinelOne hat die Lücke kürzlich auf Twitter gepostet.
Dies klappe nicht nur bei lokal angelegten Ausnahmen, sondern ebenfalls für in Windows-Domänen mit Gruppenrichtlinien verteilten Scan-Ausnahmen. Weiteren Sicherheitsforschern zufolge betreffe die Lücke Microsoft Defender unter Windows 10 Build 21H1 sowie 21H2. Windows 11 weise sie hingegen nicht auf.
Die Schwachstelle ist jedoch nicht gänzlich neu – auch andere Forscher sind da schon mal darüber gestolpert. Etwa Paul Bolten bereits im Mai vergangenen Jahres.
Praktische Auswirkungen
Die Leserechte auch für unprivilegierte Nutzer (Jeder beziehungsweise Authentifizierte Benutzer) stellen eine unnötige Vereinfachung für Eindringlinge ins System dar. Allerdings sind professionellere Angreifer nicht darauf angewiesen. Sie verstecken ihre Malware auch vor Antivirenlösungen anderer Anbieter, ohne Scan-Ausnahmen zu verwenden – die IT-Administratoren oder Nutzer entdecken oder ändern könnten. Dies ist jedoch mit etwas mehr Aufwand verbunden:
Alle Antivirenhersteller kennen das alltägliche Phänomen, dass sie neue Signaturen und auch heuristische Methoden veröffentlichen, mit denen sie Malware aufspüren. Teils wenige Minuten nach dem Verteilen der Updates haben die Malware-Programmierer jedoch eine leicht angepasste Schädlingsversion zur Hand, die mit den neuen Aktualisierungen nicht mehr erkannt wird.
In kompromittierten Rechnern oder Netzwerken tauschen Einbrecher in so einem Fall rasch ihre Schadsoftware aus. Diesen Schritt vereinfacht der Microsoft Defender durch die Schwachstelle unnötig.
Rechteprüfung
Ob Microsoft das Problem mit einem Update beheben wird, ist unklar. Mit dem Registrierungseditor regedit können erfahrene Benutzer und Administratoren jedoch die Berechtigungen des Schlüssels HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions überprüfen und gegebenenfalls anpassen.
(dmk)
