Anzeige

Am Puls von Microsoft

Anzeige

Windows Defender ermöglicht Einbruch in Windows-Systeme

G

Gast

Gast
Jetzt hat es auch Microsoft erwischt: Windows Defender ermöglicht Einbruch in Windows-Systeme. Windows Defender hatte bisher einen recht guten Ruf, wenn es um diese Art von Problem ging. Dafür waren wohl die Erkennungsraten eher mau, aber das ist ja eh alles Schlangenöl, und die anderen kriegen die höheren Raten auch nur mit Beschiss wie MD5-basiertem Cloud-Lookup.

Die meisten wissen das nicht, aber habt ihr euch mal gefragt, wie Antiviren eigentlich Kernel-Malware desinfizieren? Die haben einen Kernel-Treiber, klar, aber den will man ja nicht jedes mal updaten müssen, wenn man eine neue Desinfektions-Methode einbaut. Daher haben die ganzen Schlangenöl-Lieferanten im Allgemeinen in ihrem Kernel-Treiber einen ioctl, der sie im Kernel-Space frei lesen und schreiben lässt. Die eigentliche Desinfektion findet dann per Peek und Poke aus dem Userspace statt. Dadurch werden dann natürlich elementare Grundsätze wie Code Signing für Treiber unterlaufen, und insgesamt die Sicherheit kaputtgemacht. Aber so funktionieren Antiviren. Fast alle. Soweit ich weiß alle, bis auf Windows Defender. Der hat so was nicht.

Wenn man dieses Detail kennt, und sich dann überlegt, dass Firmen ihre Systeme zertifizieren lassen, wegen der Sicherheit, und dann die Sicherheitsversprechen wieder kaputtmachen, indem sie Schlangenöl mit Kernel-Poke-Funktionalität drüber installieren, dann sieht man, was für ein Wahnsinn das ist, was die Leute sich da alle installieren.

Tja, und jetzt ist auch der letzte Schlangenöllieferant umgefallen, Microsoft.

Vielleicht glaubt ihr mir jetzt endlich, wenn ich sage, dass Antiviren Systeme unsicherer machen statt sicherer.

Siehe auch hier
 
Anzeige
Anzeige
Oben