Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
Schwachstellen Hardware Programme Software History Kommunikation IoT / Geräte Militär Netzwerke Handys Mensch Spionagetools Tools Industrie
MS Exchange Solar Winds RamsonFlicken
Schwach-stellen

Programme
Einfallstor für Schadsoftware : NSA entdeckt Sicherheitslücke bei Windows

Windows 10 hat einen Sicherheitsfehler So schwer die NSA offenbartes
Schwere Citrix-Lücke wird zu immer größerer Gefahr für Unternehmen
Microsoft plaudert versehentlich gefährliche Windows-Lücke aus

Microsoft bringt Update für kritische SMBv3-Sicherheitslücke


Eine Windows Defender-Sicherheits-anfälligkeit wurde 12 Jahre lang
unentdeckt


Vorbemerkungen zur Schwachstelle
Extrem kritische Sicherheitslücke bedroht Internetserver weltweit
Vermehrt Cyberangriffe: IT-Experten warnen vor Sicherheitslücke in Server-Software

BSI: Warnstufe Rot
Sicherheits-Super-GAU: Was ist Log4Shell, und wie geht es weiter?

Experten fürchten verheerende Angriffswelle wegen Sicherheitslücke in Logging-Software Log4j
Die Log4J-Schwachstelle wird das Internet jahrelang heimsuchen
Die nächste Welle von Log4J-Angriffen wird brutal
Schnallen Sie sich für mehr Log4j-Wahnsinn an



Ein Jahr später lauert diese brutale Log4j-Schwachstelle immer noch



 
W I R E D

Microsoft : Eine Windows Defender-Sicherheitsanfälligkeit wurde 12 Jahre lang unentdeckt



Eine Windows Defender-Sicherheitsanfälligkeit wurde 12 Jahre lang unentdeckt
microsoft windows logo
Der Fehler geht auf mindestens die Windows 7 Tage zurück, obwohl es aussieht, als ob es bis jetzt niemand gefunden hat. Foto: Drew Angerer/Getty Images
Nur weil ein Verwundbarkeit ist alt, bedeutet nicht, dass sie nicht nützlich ist. Ob es Adobe Flash Hacking oder der EternalBlue Exploit für Windowsist, einige Methoden sind einfach zu gut für Angreifer, um aufzugeben, auch wenn sie Jahre nach ihrer Blütezeit sind. Aber ein kritischer 12-jähriger Fehler in Microsofts allgegenwärtigem Windows Defender-Antivirenprogramm wurde bis vor kurzem von Angreifern und Verteidigern gleichermaßen übersehen. Jetzt, da Microsoft es endlich gepatcht hat, ist der Schlüssel sicherzustellen, dass Hacker nicht versuchen, verlorene Zeit zu kompensieren.

Der Fehler, der von Forschern der Sicherheitsfirma SentinelOne entdeckt wurde, zeigte sich in einem Treiber, den Windows Defender – im letzten Jahr in Microsoft Defender umbenannt – verwendet, um die invasiven Dateien und Infrastrukturen zu löschen, die Malware erstellen kann. Wenn der Treiber eine schädliche Datei entfernt, ersetzt er sie durch eine neue, gutartige Datei als eine Art Platzhalter während der Behebung. Aber die Forscher entdeckten, dass das System nicht speziell verifiziert diese neue Datei. Daher kann ein Angreifer strategische Systemverknüpfungen einfügen, die den Treiber anweisen, die falsche Datei zu überschreiben oder sogar bösartigen Code auszuführen.

Windows Defender wäre für Angreifer für eine solche Manipulation endlos nützlich, da es standardmäßig mit Windows ausgeliefert wird und daher in Hunderten von Millionen von Computern und Servern auf der ganzen Welt vorhanden ist. Das Antivirenprogramm ist auch innerhalb des Betriebssystems sehr vertrauenswürdig, und der anfällige Treiber ist kryptographisch von Microsoft signiert, um seine Legitimität zu beweisen. In der Praxis könnte ein Angreifer, der den Fehler ausnutzt, wichtige Software oder Daten löschen oder den Treiber sogar anweisen, seinen eigenen Code auszuführen, um das Gerät zu übernehmen.

"Dieser Fehler ermöglicht eine Eskalation von Privilegien", sagt Kasif Dekel, Senior Security Researcher bei SentinelOne. "Software, die unter niedrigen Berechtigungen ausgeführt wird, kann zu Administratorrechten anheben und den Computer gefährden."

SentinelOne meldete den Fehler erstmals Mitte November an Microsoft, und das Unternehmen veröffentlichte am Dienstag einen Patch. Microsoft bewertete die Sicherheitsanfälligkeit als "hohes" Risiko, obwohl es wichtige Vorbehalte gibt. Die Sicherheitsanfälligkeit kann nur ausgenutzt werden, wenn ein Angreifer bereits Zugriff auf ein Zielgerät hat – remote oder physisch. Dies bedeutet, dass es keine zentrale Anlaufstelle für Hacker ist und in den meisten Angriffsszenarien neben anderen Exploits eingesetzt werden müsste. Aber es wäre immer noch ein attraktives Ziel für Hacker, die bereits diesen Zugang haben. Ein Angreifer könnte die Vorteile nutzen, wenn er einen Beliebigen von Windows-Rechnern kompromittiert hat, um tiefer in ein Netzwerk oder das Gerät eines Opfers einzusteigen, ohne zuerst Zugriff auf privilegierte Benutzerkonten wie die von Administratoren erhalten zu müssen.

SentinelOne und Microsoft sind sich einig, dass es keine Beweise dafür gibt, dass der Fehler vor der Analyse der Forscher entdeckt und ausgenutzt wurde. Und SentinelOne hält sich mit Details zurück, wie die Angreifer den Fehler nutzen könnten, um Microsofts Patchzeit zu geben, um sich zu vermehren. Nun, da die Ergebnisse öffentlich sind, ist es jedoch nur eine Frage der Zeit, bis schlechte Schauspieler herausfinden, wie sie die Vorteile nutzen können. Ein Microsoft-Sprecher wies darauf hin, dass jeder, der den Patch vom 9. Februar installiert hat oder automatische Updates aktiviert hat, jetzt geschützt ist.

In der Welt der Mainstream-Betriebssysteme ist ein Dutzend Jahre eine lange Zeit für eine schlechte Schwachstelle zu verstecken. Und die Forscher sagen, dass es in Windows für noch länger vorhanden gewesen sein könnte, aber ihre Untersuchung wurde durch die Dauer der Sicherheit Tool VirusTotal speichert Informationen über Antiviren-Produkte begrenzt. Im Jahr 2009 wurde Windows Vista durch Windows 7 als aktuelle Microsoft-Version ersetzt.

Die Forscher vermuten, dass der Fehler so lange verborgen blieb, weil der anfällige Treiber nicht vollzeit auf der Festplatte eines Computers gespeichert ist, wie es Ihre Druckertreiber sind. Stattdessen befindet es sich in einem Windows-System, das als "Dynamic-Link-Bibliothek" bezeichnet wird, und Windows Defender lädt es nur bei Bedarf. Sobald der Treiber fertig ist, wird er wieder von der Festplatte gelöscht.

https://www.wired.com/story/windows-defender-vulnerability-twelve-years/
Bemerkung:
Da diese Schwachstelle bereits seit 12 Jahren existiert, kann man davon ausgehen, das Nachrichtendienste und Andere diese ausnutzten bzw. noch ausnutzten.