Am Puls von Microsoft

Microsoft: Windows Defender war nie anfällig für #AVGater

Microsoft: Windows Defender war nie anfällig für #AVGater

Am Wochenende wurde eine Verwundbarkeit in zahlreichen Antiviren-Programmen öffentlich gemacht, die inzwischen aber von vielen populären Herstellern bereits gepatcht worden ist. Außerdem ließ sich die Schwachstelle nur ausnutzen, wenn ein Angreifer lokalen Zugang zu dem betreffenden System hatte, oder in dem der Nutzer zur aktiven Mitarbeit bewegt wurde.

Der Entdecker Florian Bogner nennt die Schwachstelle #AVGater und hat sie auf seinem Blog ausführlich dokumentiert. Es geht darum, dass eine schädliche DLL-Datei, die vom Antivirus-Programm in Quarantäne verschoben wurde, mit Hilfe symbolischer NTFS-Links aus dem Quarantäne-Verzeichnis heraus gelesen und somit erfolgreich geladen werden kann. Dabei wird die Logik der DLL-Suche von Windows ausgenutzt. Diese sucht eine angeforderte DLL-Datei auch im Pfad der zugehörigen Applikation – wenn diese nun mittels eines symbolischen Links auf das Quarantäne-Verzeichnis verweist, wird die DLL von dort geladen.

Trend Micro, Emsisoft, Kaspersky, Malwarebytes, ZoneAlarm und Ikarus werden in dem Blog-Beitrag als jene Hersteller aufgeführt, die zum Zeitpunkt der Veröffentlichung bereits einen Fix ausgeliefert hatten, alle anderen werden sicher zügig folgen.

Von Microsoft gibt es keinen Fix für den Windows Defender – weil die in Windows integrierte AV-Lösung für diesen Angriff niemals anfällig war. Das Security-Team erklärt in einem Blog-Beitrag nicht ohne Stolz, dass der Defender “by Design” immun gegen diese Angriffe sei. Bogner beschreibt #AVGater als neuartige Angriffsmethode, Microsoft widerspricht dem und meint, dies sei eine “relativ alte Angriffs-Masche”. Der Windows Defender erlaube grundsätzlich nicht, dass vom Nutzer gestartete Anwendungen auf Dateien zugreifen, die der Windows Defender unter Quarantäne gestellt hat.

Gut möglich also, dass nicht alle AV-Hersteller einen Fix gegen #AVGater liefern werden, sofern die Programme ohnehin schon gegen einen derartigen Angriff abgesichert waren.

Artikel im Forum diskutieren (21)

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 17 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige
Anzeige