Zero-Day-Lücke: Forscher schleusen Schadsoftware an Windows Defender vorbei

Der Sicherheitsanbieter CyberArk hat einen Bug in Windows Defender gefunden, der es erlaubt, Schadsoftware unerkannt an der in Windows integrierten Sicherheitslösung vorbei in ein System einzuschleusen. Die Sicherheitslücke lässt sich mithilfe eines speziell präparierten SMB-Servers ausnutzen, der Windows Defender dazu bringt, statt der gefährlichen eine harmlose Datei zu scannen und anschließend die Ausführung der schädlichen Datei zuzulassen. Microsoft selbst stuft den Fehler allerdings nicht als Schwachstelle ein.

Wie bei vielen Angriffen muss auch bei Illusion Gap – so nennen die Forscher Doron Naim und Kobi Ben Naim ihre Angriffstechnik – ein Nutzer zuerst dazu verleitet werden, eine schädliche Datei auszuführen. Diese Datei muss zudem auf einem von Cyberkriminellen kontrollierten SMB-Server liegen.

Normalerweise wird jede Datei, bevor sie unter Windows ausgeführt wird, von Windows Defender gescannt. Zugleich erstellt der Windows PE Loader einen Prozess für die Ausführung dieser Datei. Der SMB-Server ist jedoch aufgrund des Fehlers in der Lage, dem PE Loader und Windows Defender unterschiedliche Versionen einer ausführbaren Datei zu übergeben: Während Defender die harmlose Variante erhält, übergibt der SMB-Server dem PE Loader die schädliche Datei. Da Defender die harmlose Datei als solche erkennt, führt der PE Loader schließlich die Schadsoftware aus.

„Sobald ein Angreifer eine schädliche Datei in der Freigabe ablegt, kann der Angreifer kontrollieren, welche Datei Windows Defender darüber informiert, dass sie ausgeführt werden soll“, zitiert ThreatPost Ben Naim. Der SMB-Server könne erkennen, ob er die Anfrage vom Betriebssystem oder von Windows Defender erhalte. „Sobald der Angreifer feststellt, dass Windows Defender eine Datei lesen will, kann er eine harmlose statt einer gefährlichen Datei übergeben. Die Datei, die am Ende des Verfahrens vom Betriebssystem ausgeführt wird, ist die schädliche Datei.“

Alternativ entwickelten die Forscher ein Skript, das die Anfrage von Windows Defender blockiert. Es führt dazu, dass Windows Defender keine Datei scannt und das Betriebssystem trotzdem die schädliche Datei startet.

„Die beschriebene Technik lässt sich in der Praxis nur beschränkt einsetzen“, erklärte Microsoft auf Nachfrage von ThreatPost. Ein Angreifer müsse einen Nutzer zuerst davon überzeugen, der Ausführung einer unbekannten Datei aus einer nicht vertrauenswürdigen Quelle zuzustimmen. Das Opfer müsse zudem mehrere Warnungen wegklicken, um dem Angreifer Administratorrechte zu gewähren. Selbst wenn dies gelänge, seien Windows Defender und auch Windows Defender Advanced Threat Protection in der Lage, weitere Aktionen der Angreifer zu erkennen.

CyberArk schließt nicht aus, dass das Problem auch Sicherheitslösungen anderer Hersteller betrifft. „Wenn man in der Lage ist zu erkennen, welche Anfragen von einer Antivirensoftware kommen und welche von Windows, kann man denselben Trick auch bei anderen Antivirenlösungen anwenden.“

WEBINAR

HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt

Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.

Tipp: Wie gut kennen Sie Windows 10? Machen Sie den Test in unserem Quiz auf silicon.de!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

ESA Mars Express verabschiedet sich von Windows 98

Eine der kostengünstigsten und erfolgreichsten Missionen der Europäischen Weltraumorganisation ESA, Mars Express, erhält nach fast…

1 Tag ago

Erste Schritte mit Threat Hunting

Bedrohungen proaktiv abwehren ist besser als bloßes Reagieren. Wir geben Ihnen eine praktische Anleitung zur…

1 Tag ago

CNAPP als Multifunktionstool der Cloud-Sicherheit

Eine Cloud Native Application ProtectionPlattform (CNAPP) umfasst eine Suite von Security-Tools, die sowohl Sicherheit als…

2 Tagen ago

Schwachstellen in Programmierschnittstellen

Weltweit sind 4,1 bis 7,5 Prozent der Cybersecurity-Vorfälle und -schäden auf Schwachstellen in Programmierschnittstellen (Application…

2 Tagen ago

Mit Ransomware von Spionage ablenken

Vom chinesischen Geheimdienst unterstützte Hacker verbreiten Ransomware als Ablenkung, um ihre Cyberspionage zu verbergen. Fünf…

2 Tagen ago

PowerShell nicht blockieren, aber richtig konfigurieren

PowerShell wird oft von Angreifern missbraucht, aber Verteidiger sollten das Windows-Befehlszeilentool nicht abschalten, warnen angelsächsische…

2 Tagen ago