Microsoft Defender hatte selbst eine Sicherheitslücke

Microsoft scheint eine jahrzehntealte Sicherheitslücke in seiner Windows-Antivirensoftware Wochen nach dem ersten Auftauchen von Berichten in aller Stille behoben zu haben.

In ersten Berichten wurde eine Sicherheitslücke im Microsoft Defender beschrieben, die es einem Angreifer ermöglichte, praktisch jede Malware auszuführen, ohne dass das Antivirenprogramm Alarm schlug. 

Die Sicherheitslücke ist theoretisch recht einfach und besteht darin, Malware an Stellen einzuschleusen, die Microsoft Defender nicht einsehen darf. Einige Programme lösen einen falsch positiven Alarm aus und müssen daher vom Scan ausgeschlossen werden. Eine Möglichkeit für Defender-Benutzer, dies zu tun, ist das Hinzufügen bestimmter Speicherorte, entweder lokal oder in einem Netzwerk, die vom Scan ausgeschlossen werden.

Das Problem bei diesem Ansatz war, dass der Registrierungsschlüssel, der die Liste der ausgeschlossenen Orte enthielt, für die Gruppe "Jeder" zugänglich war, was bedeutete, dass lokale Benutzer, unabhängig von ihren Berechtigungen, leicht darauf zugreifen konnten.

Wenn man weiß, wo Defender nicht suchen kann, wird das Einschleusen gefährlicher Malware plötzlich sehr einfach.

Damit die Sicherheitslücke ausgenutzt werden kann, muss der Angreifer allerdings im Besitz lokaler Zugriffsrechte sein, und zwar im Voraus. Das spielt jedoch keine allzu entscheidende Rolle, da viele Angreifer, die bereits bestimmte Endpunkte und Netzwerke kompromittiert haben.

Ein Cybersecurity-Experte mit dem Namen SecGuru_OTX bestätigte jedoch, dass die Schwachstelle nicht mehr funktioniert, wie BleepingComputer herausfand. Kurz darauf bestätigte auch Antonio Cocomazzi von SentinelOne, dass die Schwachstelle mit dem Windows-Update vom Februar 2022 (Patch Tuesday) behoben wurde.

Gleichzeitig behauptet der Cybersecurity-Analyst Will Dormann von CERT/CC, er habe eine Änderung der Windows-Berechtigungen entdeckt, ohne dass ein Update installiert wurde, was darauf hindeutet, dass die Änderung möglicherweise von Microsoft Defender selbst und nicht durch das Betriebssystem-Update verursacht wurde. 

Die Sicherheitslücke betrifft Nutzer von Windows 10 21H1 und Windows 10 21H2, Windows 11 ist jedoch sicher.