DrWindows
Redaktion
Sicherheitslücke? Microsoft Defender erlaubt lokalen Benutzern das Auslesen von Ausnahmen
von Martin Geuß
Der Microsoft Defender erlaubt es, Ausnahmen für definierte Verzeichnisse anzulegen, die bei Virenscans ausgeschlossen werden. Das tut man für gewöhnlich, um Fehlalarme zu vermeiden. Lokale Benutzer können die Liste dieser Ausnahmen auslesen – ein Sicherheitsforscher bezeichnet das als Schwachstelle.
Antonio Cocomazzi hat den Sachverhalt auf Twitter dokumentiert (via heise). Mit einem an die Registry gesendeten Befehl kann jeder Nutzer die Verzeichnisse auflisten lassen, die der Defender überspringt. Ein Angreifer könnte das ausnutzen, um Schadsoftware in einem dieser Verzeichnisse abzulegen. Diese bliebe in der Folge unentdeckt.
Der Sachverhalt lässt sich unter Windows 10 21H1 und 21H2 reproduzieren, in Windows 11 dagegen nicht.
Ob und wie Microsoft darauf reagieren wird, ist unklar. Die Problematik war laut heise vor einem halben Jahr schon einmal angesprochen worden, ohne dass es einen entsprechenden Patch gab.
Angriffsmethoden, die eine lokale Anmeldung voraussetzen, werden von Microsoft in aller Regel ohnehin nicht als schwerwiegend klassifiziert. In diesem Fall kommt noch dazu, dass man für einen erfolgreichen Angriff entweder physischen Zugang zu einem Computer oder einen sehr guten Social Engineering Hacker benötigt. Die Frage ist außerdem, ob eine in einem Ausnahmeverzeichnis platzierte Malware auch dann noch unentdeckt bleibt, wenn sie beispielsweise Systemdateien zu ändern versucht.
Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.
Artikel im Blog lesen
von Martin Geuß
Der Microsoft Defender erlaubt es, Ausnahmen für definierte Verzeichnisse anzulegen, die bei Virenscans ausgeschlossen werden. Das tut man für gewöhnlich, um Fehlalarme zu vermeiden. Lokale Benutzer können die Liste dieser Ausnahmen auslesen – ein Sicherheitsforscher bezeichnet das als Schwachstelle.
Antonio Cocomazzi hat den Sachverhalt auf Twitter dokumentiert (via heise). Mit einem an die Registry gesendeten Befehl kann jeder Nutzer die Verzeichnisse auflisten lassen, die der Defender überspringt. Ein Angreifer könnte das ausnutzen, um Schadsoftware in einem dieser Verzeichnisse abzulegen. Diese bliebe in der Folge unentdeckt.
Windows Defender AV allows Everyone to read the configured exclusions on the system
reg query "HKLMSOFTWAREMicrosoftWindows DefenderExclusions" /s pic.twitter.com/dpTFwMVRje
— Antonio Cocomazzi (@splinter_code) January 12, 2022
Der Sachverhalt lässt sich unter Windows 10 21H1 und 21H2 reproduzieren, in Windows 11 dagegen nicht.
Ob und wie Microsoft darauf reagieren wird, ist unklar. Die Problematik war laut heise vor einem halben Jahr schon einmal angesprochen worden, ohne dass es einen entsprechenden Patch gab.
Angriffsmethoden, die eine lokale Anmeldung voraussetzen, werden von Microsoft in aller Regel ohnehin nicht als schwerwiegend klassifiziert. In diesem Fall kommt noch dazu, dass man für einen erfolgreichen Angriff entweder physischen Zugang zu einem Computer oder einen sehr guten Social Engineering Hacker benötigt. Die Frage ist außerdem, ob eine in einem Ausnahmeverzeichnis platzierte Malware auch dann noch unentdeckt bleibt, wenn sie beispielsweise Systemdateien zu ändern versucht.
Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.
Artikel im Blog lesen
