Lesetipp: Wenn der Microsoft Defender zum Angreifer wird

Forscher haben spannende Details zu einer im April gefixten Lücke im Defender-Signaturupdateprozess veröffentlicht. Sie sehen Potenzial für künftige Angriffe.

In Pocket speichern vorlesen Druckansicht 19 Kommentare lesen

(Bild: vectorfusionart/Shutterstock.com)

Lesezeit: 2 Min.

Was würde passieren, wenn Microsofts Anti-Viren-Lösung Defender durch manipulierte Signaturupdates vom Virenwächter zum Systemzerstörer mutiert? Dass dieses Albtraumszenario gar nicht so unrealistisch ist, haben Sicherheitsforscher der Firma SafeBreach Labs auf der diesjährigen Black-Hat-Konferenz erläutert.

Mittels einer von ihnen entdeckten Sicherheitslücke, Standardbenutzerrechten und einem selbst geschriebenen Proof-of-Concept-Tool namens "Defender-Pretender" gelang es ihnen, dem Defender-Updates mit speziell angepassten Signaturen unterzujubeln. Diese hätten das AV-Programm dann etwa zum Durchwinken zerstörerischen Codes oder auch zum Löschen essenzieller Systemdateien veranlassen können.

Defender-Signaturupdates kommen meist als einzelne "mpam-fe.exe", die viele Komponenten bündelt. Hier können Angreifer manipulativ ansetzen.

(Bild: SafeBreach Labs)

Nachdem die Sicherheitsforscher Microsoft über den Fund informierten, habe der Konzern umgehend reagiert. Ein Patch gegen CVE-2023-24934 (CVSS-Score 6.2 "mittel") ist bereits seit April 2023 verfügbar: Mit zusätzlichen Validierungsmechanismen schiebt er den von SafeBreach Labs dokumentierten Manipulationsmöglichkeiten einen Riegel vor. Über Angriffe auf die Lücke in freier Wildbahn ist derzeit nichts bekannt.

Trotz vorhandenem Patch sind die nun veröffentlichten technischen Details zum Signatur-Updateprozess des Defenders eine empfehlenswerte Lektüre. Denn die Forscher sehen in diesem Prozess zu Recht ein Angriffsziel mit hohem Exploit-Potenzial, das es intensiv zu erforschen und besser zu schützen gilt.

Mit der Sicherheitslückensuche als spannender Rahmenhandlung taucht der Blogeintrag "Defender-Pretender: When Windows Defender Updates Become a Security Risk" tief in den Signaturupdate-Vorgang ein. Er zerlegt ein Update in seine Einzelkomponenten, beleuchtet deren jeweilige Funktion und deutet Manipulationsmöglichkeiten an. Das systematische – und bisweilen auch erfolglose "Abklopfen" der Dateien auf potenzielle Schwachpunkte durch die Forscher wird gut nachvollziehbar beschrieben.

Zusätzliche Bilder beziehungsweise eine andere Art der Aufbereitung liefern die Folien zum zugehörigen Black Hat-Vortrag.

(des)