Microsoft : Eine Windows Defender-Sicherheitsanfälligkeit wurde 12 Jahre lang unentdeckt
Eine Windows Defender-Sicherheitsanfälligkeit wurde 12 Jahre lang
unentdeckt
microsoft windows logo
Der Fehler geht auf mindestens die Windows 7 Tage zurück, obwohl es
aussieht, als ob es bis jetzt niemand gefunden hat. Foto: Drew
Angerer/Getty Images
Nur weil ein Verwundbarkeit ist alt, bedeutet nicht, dass sie nicht
nützlich ist. Ob es Adobe Flash Hacking oder der EternalBlue Exploit für
Windowsist, einige Methoden sind einfach zu gut für Angreifer, um
aufzugeben, auch wenn sie Jahre nach ihrer Blütezeit sind. Aber ein
kritischer 12-jähriger Fehler in Microsofts allgegenwärtigem Windows
Defender-Antivirenprogramm wurde bis vor kurzem von Angreifern und
Verteidigern gleichermaßen übersehen. Jetzt, da Microsoft es endlich
gepatcht hat, ist der Schlüssel sicherzustellen, dass Hacker nicht
versuchen, verlorene Zeit zu kompensieren.
Der Fehler, der von Forschern der Sicherheitsfirma SentinelOne entdeckt
wurde, zeigte sich in einem Treiber, den Windows Defender – im letzten
Jahr in Microsoft Defender umbenannt – verwendet, um die invasiven
Dateien und Infrastrukturen zu löschen, die Malware erstellen kann. Wenn
der Treiber eine schädliche Datei entfernt, ersetzt er sie durch eine
neue, gutartige Datei als eine Art Platzhalter während der Behebung.
Aber die Forscher entdeckten, dass das System nicht speziell verifiziert
diese neue Datei. Daher kann ein Angreifer strategische
Systemverknüpfungen einfügen, die den Treiber anweisen, die falsche
Datei zu überschreiben oder sogar bösartigen Code auszuführen.
Windows Defender wäre für Angreifer für eine solche Manipulation endlos
nützlich, da es standardmäßig mit Windows ausgeliefert wird und daher in
Hunderten von Millionen von Computern und Servern auf der ganzen Welt
vorhanden ist. Das Antivirenprogramm ist auch innerhalb des
Betriebssystems sehr vertrauenswürdig, und der anfällige Treiber ist
kryptographisch von Microsoft signiert, um seine Legitimität zu
beweisen. In der Praxis könnte ein Angreifer, der den Fehler ausnutzt,
wichtige Software oder Daten löschen oder den Treiber sogar anweisen,
seinen eigenen Code auszuführen, um das Gerät zu übernehmen.
"Dieser Fehler ermöglicht eine Eskalation von Privilegien", sagt Kasif
Dekel, Senior Security Researcher bei SentinelOne. "Software, die unter
niedrigen Berechtigungen ausgeführt wird, kann zu Administratorrechten
anheben und den Computer gefährden."
SentinelOne meldete den Fehler erstmals Mitte November an Microsoft, und
das Unternehmen veröffentlichte am Dienstag einen Patch. Microsoft
bewertete die Sicherheitsanfälligkeit als "hohes" Risiko, obwohl es
wichtige Vorbehalte gibt. Die Sicherheitsanfälligkeit kann nur
ausgenutzt werden, wenn ein Angreifer bereits Zugriff auf ein Zielgerät
hat – remote oder physisch. Dies bedeutet, dass es keine zentrale
Anlaufstelle für Hacker ist und in den meisten Angriffsszenarien neben
anderen Exploits eingesetzt werden müsste. Aber es wäre immer noch ein
attraktives Ziel für Hacker, die bereits diesen Zugang haben. Ein
Angreifer könnte die Vorteile nutzen, wenn er einen Beliebigen von
Windows-Rechnern kompromittiert hat, um tiefer in ein Netzwerk oder das
Gerät eines Opfers einzusteigen, ohne zuerst Zugriff auf privilegierte
Benutzerkonten wie die von Administratoren erhalten zu müssen.
SentinelOne und Microsoft sind sich einig, dass es keine Beweise dafür
gibt, dass der Fehler vor der Analyse der Forscher entdeckt und
ausgenutzt wurde. Und SentinelOne hält sich mit Details zurück, wie die
Angreifer den Fehler nutzen könnten, um Microsofts Patchzeit zu geben,
um sich zu vermehren. Nun, da die Ergebnisse öffentlich sind, ist es
jedoch nur eine Frage der Zeit, bis schlechte Schauspieler herausfinden,
wie sie die Vorteile nutzen können. Ein Microsoft-Sprecher wies darauf
hin, dass jeder, der den Patch vom 9. Februar installiert hat oder
automatische Updates aktiviert hat, jetzt geschützt ist.
In der Welt der Mainstream-Betriebssysteme ist ein Dutzend Jahre eine
lange Zeit für eine schlechte Schwachstelle zu verstecken. Und die
Forscher sagen, dass es in Windows für noch länger vorhanden gewesen
sein könnte, aber ihre Untersuchung wurde durch die Dauer der Sicherheit
Tool VirusTotal speichert Informationen über Antiviren-Produkte
begrenzt. Im Jahr 2009 wurde Windows Vista durch Windows 7 als aktuelle
Microsoft-Version ersetzt.
Die Forscher vermuten, dass der Fehler so lange verborgen blieb, weil
der anfällige Treiber nicht vollzeit auf der Festplatte eines Computers
gespeichert ist, wie es Ihre Druckertreiber sind. Stattdessen befindet
es sich in einem Windows-System, das als "Dynamic-Link-Bibliothek"
bezeichnet wird, und Windows Defender lädt es nur bei Bedarf. Sobald der
Treiber fertig ist, wird er wieder von der Festplatte gelöscht.
Bemerkung: Da diese
Schwachstelle bereits seit 12 Jahren existiert, kann man davon
ausgehen, das Nachrichtendienste und Andere diese ausnutzten
bzw. noch ausnutzten.