Am Puls von Microsoft

Sicherheitslücke: Microsoft Defender und andere Antivirus-Programme löschten harmlose Dateien

Sicherheitslücke: Microsoft Defender und andere Antivirus-Programme löschten harmlose Dateien

Eine Sicherheitslücke in diversen Antivirus-Lösungen, unter anderem auch im Microsoft Defender, konnte dazu missbraucht werden, harmlose Dateien statt der eigentlichen Malware zu löschen.

Der Sicherheitsforscher Ar Yair von SafeBreach hatte die Lücke entdeckt und sie auf den Namen „Aikido“ getauft. Bei dieser japanischen Kampfkunst wird die Energie eines Angreifers gegen ihn selbst verwendet, die „Angreifer“ sind in diesem Beispiel aber die Antivirenprogramme. Der Microsoft Defender, TrendMiro, Avast, AVG und SentinelOne waren für diese Methode anfällig, wie Yair anhand eines „Proof of Concept“ (via Neowin) nachweisen konnte. Palo Alto XDR, Cylance, CrowdStrike, McAfee und BitDefender ließen sich dagegen nicht überlisten.

Yair hat die Methode „Time-Of-Check To Time-Of-Use“ (TOCTOU) getauft. Antivirenprogramme markieren eine Datei zunächst als „bösartig“ und löschen sie erst im zweiten Schritt. Durch geschicktes Einfügen einer Verknüpfung brachte Yair die anfälligen Programme dazu, das Löschen der Datei erst nach dem nächsten Neustart des Systems durchzuführen. Gleichzeitig erstellte er einen Verweis von der bösartigen auf eine harmlose Datei. Beim nächsten Systemstart löschten die von der Lücke betroffenen Programme diese Datei anstatt der Malware.

Man konnte auf diese Art beliebige Dateien, auch Systemdateien, von einem System löschen, die Lücke hätte sich also von einer Malware ausnutzen lassen, die gezielt Dateien zerstören will, auch wenn die Methode wohl nicht ganz trivial war.

Microsoft, TrendMiro, Avast und AVG haben bereits mit Patches reagiert und ihre Lösungen entsprechend abgesichert, wer diese Programme nutzt und auf dem aktuellen Stand ist, muss sich also keine Sorgen machen.

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zuhause. Seit 15 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige