Am Puls von Microsoft

Hat der Ordnerschutz in Windows 10 eine Sicherheitslücke oder nicht?

Hat der Ordnerschutz in Windows 10 eine Sicherheitslücke oder nicht?

Mit dem Fall Creators Update für Windows 10 wurde innerhalb des Windows Defender eine neue Funktion eingeführt, die sich „Überwachter Ordnerzugriff“ nennt. Sie bietet laut Beschreibung einen zusätzlichen Schutz vor bösartigen Programmen wie z.B. Ransomware. Wird die Option eingeschaltet, haben nur zugelassene Programme das Recht, in die Benutzer-Bibliotheken zu schreiben.

Einige Programme stehen allerdings „von Haus aus auf der Whitelist“, dazu gehört die Microsoft Office Suite. Yago Jesus hat ein kleines Script geschrieben, welches ein Office-Dokument aufruft, es mit einem Passwort versieht und abspeichert. Das hat trotz überwachtem Ordnerzugriff funktioniert. Weil er dies für eine Sicherheitslücke hielt, hat er Microsoft informiert, und die haben gesagt: Danke für das Feedback, aber wir sehen das nicht als Sicherheitslücke, nehmen es aber gerne als Anregung, um die Funktion zu verbessern.

Die Meldung von der „Sicherheitslücke“ wird nun weiter getragen, und die üblichen Verdächtigen, die dreimal täglich frisches Trollfutter streuen müssen, haben sich selbstverständlich mit Freuden darauf gestürzt.

Also lasst uns diskutieren:

Der überwachte Ordnerzugriff ist per Definition abgeschaltet, weil er, wenn aktiv, den Zugang zu den Benutzer-Ordnern massiv einschränkt. Das ist sinnvoll, denn es würde viele Nutzer irritieren, wenn sie auf diese Dateien plötzlich keinen freien Schreibzugriff mehr hätten.

Der Schutz vor Schadprogrammen wie Ransomware sitzt im Windows Defender, der solche Programme im Idealfall abfängt, noch bevor sie ihre schädliche Arbeit aufnehmen. In dem Moment, wo der überwachte Ordnerzugriff zuschlägt, hat der Angreifer die erste Hürde also bereits überwunden. Dass, wie in diesem Beispiel, der Defender nicht anschlägt, wenn ein vom Benutzer selbst erstelltes Script ausgeführt wird, verwundert mich nicht – ich kann das aber nicht bewerten.

Das eigentliche Problem bei einem erfolgreichen Angriff wäre also nicht der durchlässige Ordnerschutz, sondern das Versagen des Defender. Der wurde hier aber gar nicht erst auf die Probe gestellt.

Wenn die Office-Programme auf der Whitelist stehen und mit einem Office-Programm eine Datei verändert wird, dann funktioniert alles so, wie es vorgesehen ist. Der Ansicht von Microsoft, dass es sich nicht um eine Lücke handelt, kann ich mich daher zunächst anschließen. Sehr wohl könnte man an dieser Stelle aber prüfen, ob die Bearbeitung durch ein Script erfolgt, und in diesem Fall den Zugriff verweigern. Das ist es wohl auch, woran man bei Microsoft dachte, als man in der Antwort schrieb, man werde diese Erkenntnisse in die Verbesserung der Funktion einfließen lassen.

Berechtigt kritisieren kann man allerdings, dass es für den Benutzer nicht transparent ist, welche Programme standardmäßig durchgelassen werden. Dies ist eine Funktion für fortgeschrittene Benutzer, diese darf man also ruhig mit etwas ausführlicheren Informationen versorgen, die können in aller Regel damit umgehen. Vielleicht hätte der Entdecker dieser „Schwachstelle“ das dann auch ganz anders gesehen.

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zuhause. Seit 15 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige