Schwachstelle im Virenschutz Microsoft-Defender stillschweigend abgedichtet

Ohne weitere Benachrichtigung hat Microsoft eine Sicherheitslücke des Virenschutzes Microsoft Defender abgedichtet. Durch zu lasche Vergabe von Zugriffsrechten auf Registry-Werte wurde Angreifern erleichtert, sich vor dem Scan des Microsoft Defender zu verstecken. Jeder angemeldete Nutzer konnte die Ausnahmen des Scanners auslesen. Das ist jetzt passé.

Die Fehlerkorrektur fiel zunächst Twitter-Nutzer CISOwithHoodie auf. Nur noch administrative Nutzer konnten bei ihm die Ausnahmen auflisten lassen.

Der Nutzer Will Dormann bestätigte den Fund. Nach einiger Ruhezeit des Betriebssystems Windows 10 Build 21H2 nach dem Einspielen von Windows Updates war der Zugriff auf die Ausnahmen vernagelt.

Da Microsoft keinerlei Benachrichtigungen zu der Aktualisierung herausgegeben hat, stellt sich die Frage, womit das Update auf die Maschinen kommt. Bei der Protokollierung der Registry-Änderungen wurde Dormann fündig – der Microsoft Defender selber hat die Rechtekorrekturen vorgenommen. Die Vermutung liegt nahe, dass ein reguläres Defender-Update dafür zuständig war.

Zugriffsrechte entfernt

Auch auf unseren Maschinen mit Windows 10 21H2 bei heise Security lässt sich die Fehlerkorrektur nachvollziehen. Der ehemals vorhandene Nutzer Authentifizierte Benutzer ist nicht mehr auf Liste der leseberechtigten Konten des Registry-Schlüssels zu finden.

Zwar sind die meisten Cyberkriminellen auf eine derartige Schwachstelle gar nicht angewiesen, um sich in Rechnern und Netzwerken einzunisten. Die jetzt erfolgte Fehlerkorrektur war dennoch nötig und liefert verbesserte Sicherheit.

Die Beobachtung, dass zum Anwenden der Änderungen einige Zeit nötig war, betrifft offenbar nicht nur normale Windows-Updates. Hier hatte Microsoft kürzlich erläutert, dass Maschinen zwei Stunden ununterbrochene Online-Zeit zum Herunterladen der Aktualisierungen benötigen. Zudem müssen sie insgesamt sechs Stunden online sein, um die Patches auch verlässlich einzuspielen.

(dmk)