Hat der Ordnerschutz in Windows 10 eine Sicherheitslücke oder nicht?

Hat der Ordnerschutz in Windows 10 eine Sicherheitslücke oder nicht?

Mit dem Fall Creators Update für Windows 10 wurde innerhalb des Windows Defender eine neue Funktion eingeführt, die sich „Überwachter Ordnerzugriff“ nennt. Sie bietet laut Beschreibung einen zusätzlichen Schutz vor bösartigen Programmen wie z.B. Ransomware. Wird die Option eingeschaltet, haben nur zugelassene Programme das Recht, in die Benutzer-Bibliotheken zu schreiben.

Einige Programme stehen allerdings „von Haus aus auf der Whitelist“, dazu gehört die Microsoft Office Suite. Yago Jesus hat ein kleines Script geschrieben, welches ein Office-Dokument aufruft, es mit einem Passwort versieht und abspeichert. Das hat trotz überwachtem Ordnerzugriff funktioniert. Weil er dies für eine Sicherheitslücke hielt, hat er Microsoft informiert, und die haben gesagt: Danke für das Feedback, aber wir sehen das nicht als Sicherheitslücke, nehmen es aber gerne als Anregung, um die Funktion zu verbessern.

Die Meldung von der „Sicherheitslücke“ wird nun weiter getragen, und die üblichen Verdächtigen, die dreimal täglich frisches Trollfutter streuen müssen, haben sich selbstverständlich mit Freuden darauf gestürzt.

Also lasst uns diskutieren:

Der überwachte Ordnerzugriff ist per Definition abgeschaltet, weil er, wenn aktiv, den Zugang zu den Benutzer-Ordnern massiv einschränkt. Das ist sinnvoll, denn es würde viele Nutzer irritieren, wenn sie auf diese Dateien plötzlich keinen freien Schreibzugriff mehr hätten.

Der Schutz vor Schadprogrammen wie Ransomware sitzt im Windows Defender, der solche Programme im Idealfall abfängt, noch bevor sie ihre schädliche Arbeit aufnehmen. In dem Moment, wo der überwachte Ordnerzugriff zuschlägt, hat der Angreifer die erste Hürde also bereits überwunden. Dass, wie in diesem Beispiel, der Defender nicht anschlägt, wenn ein vom Benutzer selbst erstelltes Script ausgeführt wird, verwundert mich nicht – ich kann das aber nicht bewerten.

Das eigentliche Problem bei einem erfolgreichen Angriff wäre also nicht der durchlässige Ordnerschutz, sondern das Versagen des Defender. Der wurde hier aber gar nicht erst auf die Probe gestellt.

Wenn die Office-Programme auf der Whitelist stehen und mit einem Office-Programm eine Datei verändert wird, dann funktioniert alles so, wie es vorgesehen ist. Der Ansicht von Microsoft, dass es sich nicht um eine Lücke handelt, kann ich mich daher zunächst anschließen. Sehr wohl könnte man an dieser Stelle aber prüfen, ob die Bearbeitung durch ein Script erfolgt, und in diesem Fall den Zugriff verweigern. Das ist es wohl auch, woran man bei Microsoft dachte, als man in der Antwort schrieb, man werde diese Erkenntnisse in die Verbesserung der Funktion einfließen lassen.

Berechtigt kritisieren kann man allerdings, dass es für den Benutzer nicht transparent ist, welche Programme standardmäßig durchgelassen werden. Dies ist eine Funktion für fortgeschrittene Benutzer, diese darf man also ruhig mit etwas ausführlicheren Informationen versorgen, die können in aller Regel damit umgehen. Vielleicht hätte der Entdecker dieser „Schwachstelle“ das dann auch ganz anders gesehen.

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als elf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare
  1. Ich finde diesen "Überwachten Ordner" sowieso sehr grenzwertig.
    Ich hab das beim Defender sowie auch bei anderen Rechnern mit BitDefender aus da es einfach nur nervig ist.
    Ob es wirklich Ransomware blockiert steht eh in den Sternen und es ist für den Nutzer fast genauso hässlich wie für den Angreifer.
    Man will was Installieren und das Ding meckert oder die Installation geht nicht, man will was abspeichern und das Ding meckert oder es geht einfach nicht und man weiß erst mal nicht warum.
    Auch gibt es immer wieder zig Fehlermeldungen von Leuten in Foren die sich am ende auf eben diese Funktion reduzieren lassen.
    Von daher seh ich die ganze Funktion als grenzwertig an.
    Sicherheit und Bequemlichkeit lassen sich nicht so gut unter einen Hut bringen. Das muss für die Masse möglichst unsichtbar im Hintergrund ablaufen. Nicht auszudenken, wenn X hundert / tausend Office-User plötzlich Zugriffsprobleme bekommen.
    In der Hinsicht kann ich das Vorgehen von MS schon etwas verstehen. Allerdings ist der Verbreitungsweg von der Verschlüsselungstrojaner über Office auch bislang eine der beliebtesten Angriffswege gewesen, so dass man doch eigentlich meinen sollte MS hat das mitbekommen und würde es bei solche Sicherungskonzepten berücksichtigen.
    Ansonsten: Ne coole "Lücke". Hat einem vor ewigen Zeiten schon an der Schule gute Dienste geleistet, um trotz Media Player Sperre Multimedia-Dateien abspielen zu können. ^^
    Eine Sicherheitslücke ist das m.E. nicht, sondern eben "by design". Besser wäre wohl eine Verhaltensüberwachung, die verdächtige Aktivitäten an den Benutzerdateien erkennen kann, aber das sollte der Defender eigentlich schon haben.
    Eagle02
    Man will was Installieren und das Ding meckert oder die Installation geht nicht, man will was abspeichern und das Ding meckert oder es geht einfach nicht und man weiß erst mal nicht warum.
    Das finde ich auch extrem nervig. Meist ist es aber nur die Verknüpfung, die bei der Installation auf den eigenen bzw. öffentlichen Desktop abgelegt werden soll. Problematisch sind die Programminstallationen, die Daten im Nutzerordner direkt ablegen oder einen Order dort anlegen wollen, statt den Appdata-Ordner dafür zu verwenden. Dabei erscheint dann teilweise nicht mal eine Meldung des überwachten Ordnerzugriff, sondern nur eine Fehlermeldung des Setups, die man erstmal nicht zuordnen kann. Manche automatischen Anwendungsupdates nutzen auch den Benutzerordner und scheitern demzufolge auch am überwachten Ordnerzugriff.
    Letztendlich müßte man den überwachten Ordnerzugriff bei jeder Installation von Programmen temporär deaktivieren und dann auch noch die jeweilige Exe-Datei als Ausnahme hinzufügen, falls das Programm Daten in den Benutzerordnern ablegen können soll.
    Es wäre wünschenswert wenn die überwachten Ordnern komplett vom Nutzer bestimmt werden könnten und es keine nicht verstellbaren Vorgaben gäbe. Ideal wäre eine Funktion, mit der man einem bestimmten Programm einen oder mehrere Ordner exklusiv zuweisen könnte, in die gar kein anderes Programm schreiben darf.
    Ich hatte bei Erscheinen in der Insiderpreview,diese Funktion mal testweise aktiviert,fand dabei aber soviel Nachteile,dass ich es seither nie mehr wiedr angeschaltet hab und vermutlich auch nie mehr tun werde.
    Ich halte es für überflüssig,falls man selber als Nutzer auch etwas mitdenken kann....
    Iskandar

    ...
    In der Hinsicht kann ich das Vorgehen von MS schon etwas verstehen. Allerdings ist der Verbreitungsweg von der Verschlüsselungstrojaner über Office auch bislang eine der beliebtesten Angriffswege gewesen, so dass man doch eigentlich meinen sollte MS hat das mitbekommen und würde es bei solche Sicherungskonzepten berücksichtigen.
    ...

    Das Problem ist doch, in der heutigen Form bringt nichts, Office von der Liste zu nehmen, wenn der Nutzer Office doch nutzen will oder muss; er müsste von Hand Office als Ausnahme hinzufügen und die Lücke wäre wieder da, diesmal selber verursacht.
    Dasjenige Feature ist in meinem Windows Defender deaktiviert, weil es sich penetrant und problematisch zu erkennen gibt.
    Interessante Betrachtung von Martin und der restlichen Kommentatoren. Gehöre mit dem Blog dann ja auch zu denen, die Trollfutter gestreut haben ;-).
    Zum Hintergrund: Als die Funktion ruchbar wurde, habe ich all die himmelhoch jauchzenden Beiträge im Web gelesen und gedacht: Könnte was cooles werden. Bei Erscheinen habe ich mir dann das Feature angeschaut, bekam es aber nicht stabil zum Laufen. Blog-Leser berichteten, dass weitere Updates wohl ein paar Probleme behoben. Dajer geht es mir wie @Eagle02 und @Iskandar - ich kann der Funktion nicht (mehr) wirklich was abgewinnen.
    Für Normalnutzer vermutlich zu kompliziert - die haben am liebsten kein Passwort fürs Benutzerkonto und UAC ist eh Teufelszeug, der AV-Scanner soll es richten. Für PowerUser sehe ich das Problem, dass die Funktion Überwachte Ordner eine Dauerbaustelle ist, wo ich nicht drauf setzen würde.
    Der springende Punkt beim gegenständlichen Thema ist nicht 'Trollfutter' sondern eine Funktion, die vom Microsoft-Marketing immer wieder als das Non Plus-Ultra hochgebürstet wird. Wenn dann solche by design-Schwächen auftauchen, sollte da schon drüber berichtet werden können - ohne das in die Ecke 'Trollfutter' zu verorten - imho.
    Günter, dich habe ich da bewusst nicht verlinkt, denn dich wollte ich damit nicht angehen. Es als Sicherheitslücke zu bezeichnen, ist eine vertretbare Meinung, aber man muss nicht gleich einen Katastrophenalarm daraus machen wie in dem verlinkten Beitrag, der bewusst mit Übertreibungen und Weglassungen arbeitet, um genau das Publikum zu bedienen, welches sich dort bevorzugt aufhält - daher auch die Bezeichnung "Trollfutter" - denn um nichts anderes geht es dort, und das ist doppelt schade, weil da Leute sitzen, die es besser könnten - im Auftrag der Klicks aber vermutlich andere Weisungen befolgen müssen.
    Die "himmelhoch jauchzenden Beiträge" im Web musst du mir aber bitte zeigen, ebenso habe ich noch nirgends gesehen, wie das Microsoft-Marketing diese Option als Non Plus Ultra feiert. Es ist eine zusätzliche Option, und sie ist noch recht neu, also hat sie entsprechend Verbesserungspotenzial. Es nach dem initialen Release gleich als unbrauchbare Dauerbaustelle zu betiteln...naja, das kann man machen, muss man aber nicht unbedingt.
    Als Lücke kann man dies kaum bezeichnen. Das berechtigte Anwendungen in diese Ordner schreiben ist ja gewollt. Das Problem vielmehr sind die "unerwünschten Anhängsel" welche eben diese berechtigten Anwendungen mitbringen können. Genau hier bedarf es der Nachbesserung.
    Das Problem der "Fensterwegklicker" der "alles Erlauber" wird man jedoch nicht lösen können - dagegen ist kein Kraut gewachsen.
    Fügt (nahtlos) sich ein in die Reihe der Sicherheitsfeatures die per default abgeschwächt sind wie der obligatorische "Erst-User" mit Admin-Rechten nach ner Win Installation. Hab das nach/während jeder Neuinstallation nachbessert - Admin, Nutzer 1 bis n.
    Ich gebe Martin recht und widerspreche Günter: CFA ist weder allgemein im Web noch von MS hochgejubelt wurden. Zu meiner Schande muss ich gestehen, dass ich davon erst jetzt - also im Zusammenhang mit der "riesigen Lücke" - gehört und gelesen habe. Und dabei habe ich praktisch jeden Tag beruflich und auch so mit Windows etc. zu tun. Und das wird erst recht bei den meisten so gewesen sein, die sich in dieser oder jener Form nun empören.
    Das von Martin erwähnte Portal ist jetzt etwas zurück gerudert. Auf deren Security-Übersichtseite steht jetzt nur noch "Ransomware-Schutz von Windows 10 bröckelt". Das klang vorher deutlich anders.
    Ich glaube, das man dort langsam merkt, dass das ausschließliche Bedienen von MS-Hassern und/oder Trollen die Reputation beschädigt und bei einem noch kleinen, aber langsam zunehmenden Leserteil auf Ablehnung stößt. Letzteres kann man m.E. gut in den Foren zu MS-Themen beobachten.
    @Martin: Hatte es auch nicht so verstanden, dass Du mich persönlich angehen wolltest - damit keine Missverständisse aufkommen :-).
    Zu den 'himmelhoch jauchzenden Artikeln': Das waren die US Kollegen, habe jetzt aber keinen Link (mein Urteil mag aber auch der Tatsache geschuldet sein, dass ich kein native american speaker bin und einiges bei mir daher übertriebener dargestellt ankommt, als das bei denen gemeint ist).
    Zum Marketing: Es stimmt, CFA wird nicht explizit in den Vordergrund gestellt - aber in so gut wie jedem MS Artikel zu W10 springen mir der Defender und die besonders gute Absicherung von Windows 10 gegen Ransomware durch dieses Dingens mit ein paar Worthülsen garniert ins Auge ;-).
    Zu @TomC und heise: Bin mir nicht sicher - aber die Meinung bzw. das Urteil hängt etwas von ab, ob man Fan oder Hater ist - geht bei MS, Apple, Google oder was auch immer so. Mir fällt persönlich oft erst durch die Kommentare auf, dass man eine Wortwahl in der Headline so oder so interpretieren kann. Ich überfliege täglich viele Artikel im Internet - und ziehe das Beef als Information raus, wenn es für mich relevant ist. Andere (ist legitim) legen jedes Wort auf die Goldwaage und regen sich furchtbar über die Titelei auf. Ich denke, jeder muss da seinen Weg finden, mit den Informationen umzugehen.
    Problem ist schon mal die unsichtbare Whitelist. Der User weiß erstmal gar nicht, daß Office erlaubt ist ohne es explizit zu aktivieren.
    Jepp, das hatte ich in meinem Beitrag auch erwähnt. Es ist eine Funktion, die man bewusst aktiviert. Wenn man nicht weiß, wo man schauen muss, dann findet man sie nicht mal. Ich denke, das wurde auch ganz bewusst so gemacht, damit es eben nicht von unbedarften Nutzern im Vorbeigehen einfach mal aktiviert wird, die sich dann wundern, warum so viele Dinge auf einmal nicht mehr funktionieren. Wenn man es als "Experten-Feature" implementiert, dann muss es auch transparent sein.
    Meine Meinung: eine Viren-Trojaner-Abwehrsoftware muß selbstverständlich anspringen sobald ein Datei verseucht ist. Ebenso muß die installierte Schutzsoftware den ganzen Rechner auf Malware-Aktivitäten überwachen.
    Wenn die Software den normalen Rundumschutz nicht schafft, hat die Software Defizite. Wenn ein User unter Windows sich auf dunklen Netzseiten bewegt oder die allgemein bekannten Regeln bei Mails nicht beachtet fällt auch ohne überwachte Ordner irgendwann auf die Schnauze.
Nach oben