Sicherheitslücke im Virenschutz Microsoft-Defender heimlich abgedichtet

Sicherheitslücke im Virenschutz Microsoft-Defender heimlich abgedichtet

 

Die im Virenschutz bei Microsoft Defender vorhandene Sicherheitslücke wurde ohne Infos abgedichtet

 

Vor einiger Zeit ist beim Microsoft Defender eine Schwachstelle beim System Windows aufgefallen. Über eine Schadsoftware hatte hier über die vom Virenschutz ausgesparten Ordner eine Abfrage durchgeführt werden können. Nach dem aktuellen Stand hat zwischenzeitlich Microsoft diese Schwachstelle. ohne dabei die Öffentlich zu informieren, stillschweigend korrigiert und dadurch eine Schließung dieser Einstiegsmöglichkeit vorgenommen. Somit ist hier ein Zugriff auf eine solche Information eine Administrationsberechtigung erforderlich. Die Korrektur ist jedoch noch nicht auf allen Windows-Systemen erfolgt und auch ist nach dem jetzigen Stand noch unklar, ob per Windows Update oder über ein Update des Defenders hier eine Information an die Nutzer und an die Öffentlichkeit erfolgt.

Das Problem ist durch eine zu lasche Vergabe von Zugriffsrechten auf Registry-Werte entstanden. Dadurch wurde es Hackern oder Angreifen erleichtert, sich vor der Scan-Funktion des Microsoft-Defenders zu verstecken. Somit kann jeder Nutzer, welche angemeldet war, diese Ausnahmen des Scanners auslesen. Durch diese Schließung ist es jetzt nicht mehr möglich.

Bei Microsoft ist es im Defender möglich, Ordner anzugeben, welche von einem Virenscan ausgenommen sind und nicht erfasst werden sollen. Dabei ist dann einigen Sicherheitsexperten aufgefallen, dass es hier bei Defender eine Liste bei Microsoft gibt, die vom Scan ausgeschlossenen Orte beinhaltet und somit dann jeder lokale Benutzer darauf zugreifen kann. Bei der Registrierung werden diese Pfade unter einem bestimmten Schlüssel verwaltet.

Dadurch war es für lokale Benutzer (im Grunde jedem) möglich, unabhängig von der jeweiligen Berechtigung, die bei Defender vorhandenen Registrierungseinträge abzufragen. Dadurch war dann Microsoft Defender durch die Administrationsvorgaben nicht berechtigt, hierbei eine Prüfung auf gefährliche Daten vorzunehmen. Davon waren Windows 10 in den aktuellen Versionen 21 H1 und 21 H2 betroffen. Davon nicht betroffen war jedoch Windows 11. Externe Recherchen haben hier heraus gefunden, dass diese Schwachstelle seit 8 Jahren bestanden haben soll.

 

Wie wurde diese Schließung bekannt?

 

Von dem Nutzer von Microsoft Will Dormann wurde bestätigt, dass dieser nach einiger Ruhezeit der Betriebssysteme Windows 10 Build 21H2 nach dem Durchlauf von einem Windows Update dieser Zugriff auf die oben geschilderten Ausnahmen nicht mehr möglich war.

Diese Korrektur von Fehler ist auch dem Twitter-Nutzer CISO with Hoodie aufgefallen. Dieser hat ebenfalls festgestellt, dass nur noch administrative Nutzer darauf zugreifen können.

 

Von Microsoft aus wurden die Berechtigungen angepasst

 

Von Microsoft aus wurde die oben aufgeführte Schwachstelle im Defender unter Windows durch die Anpassung der Zugriffsberechtigungen beseitigt. Wie bereits erwähnt, sind für diesen Zugriff Administrator-Berechtigungen erforderlich, um dann auf die von Defender vorhandenen Registrierungseinträge zuzugreifen.
Von Experten wurden festgestellt, dass diese Schwachstelle am 8. Februar 2022 beseitigt worden ist. Diese wurden von verschiedenen Experten in Tweets bestätigt. Dabei gibt es auch bei Experten eine größere Diskussion darüber, ob diese Änderungen durch ein Windows Update oder über ein Update der Scan Engine von Defender nochmals bestätigt werden oder nicht.

Die meisten Cyberkriminellen sind auf eine solche Schwachstelle gar nicht angewiesen, um in Netzwerke und in Rechnern rein zu kommen. Dabei war jedoch die hier von Microsoft durchgeführte Fehlerkorrektur notwendig und dadurch entsteht auf Windows eine wesentlich verbesserte Sicherheit.