Am Puls von Microsoft

Sicherheitslücke? Microsoft Defender erlaubt lokalen Benutzern das Auslesen von Ausnahmen

Sicherheitslücke? Microsoft Defender erlaubt lokalen Benutzern das Auslesen von Ausnahmen

Der Microsoft Defender erlaubt es, Ausnahmen für definierte Verzeichnisse anzulegen, die bei Virenscans ausgeschlossen werden. Das tut man für gewöhnlich, um Fehlalarme zu vermeiden. Lokale Benutzer können die Liste dieser Ausnahmen auslesen – ein Sicherheitsforscher bezeichnet das als Schwachstelle.

Antonio Cocomazzi hat den Sachverhalt auf Twitter dokumentiert (via heise). Mit einem an die Registry gesendeten Befehl kann jeder Nutzer die Verzeichnisse auflisten lassen, die der Defender überspringt. Ein Angreifer könnte das ausnutzen, um Schadsoftware in einem dieser Verzeichnisse abzulegen. Diese bliebe in der Folge unentdeckt.

Der Sachverhalt lässt sich unter Windows 10 21H1 und 21H2 reproduzieren, in Windows 11 dagegen nicht.

Ob und wie Microsoft darauf reagieren wird, ist unklar. Die Problematik war laut heise vor einem halben Jahr schon einmal angesprochen worden, ohne dass es einen entsprechenden Patch gab.

Angriffsmethoden, die eine lokale Anmeldung voraussetzen, werden von Microsoft in aller Regel ohnehin nicht als schwerwiegend klassifiziert. In diesem Fall kommt noch dazu, dass man für einen erfolgreichen Angriff entweder physischen Zugang zu einem Computer oder einen sehr guten Social Engineering Hacker benötigt. Die Frage ist außerdem, ob eine in einem Ausnahmeverzeichnis platzierte Malware auch dann noch unentdeckt bleibt, wenn sie beispielsweise Systemdateien zu ändern versucht.

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 16 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige