8Jahre alter Sicherheitsbug im Defender

[maikrosoft]

Der Defender wird ja von viele als das einzig wahre AV, der heilige Gral, angesehen.
Wie sich herausstellt gibt es allerdings eine gravierende Sicherheitslücke seit etwa 8 Jahren, welche es ermöglicht, Malware einzuschleusen und der Defender verrät die besten Orte dafür.

Quelle:
Defender Bug via Winfuture

 

[AGB-Leser]

Werden die Programm oder Dateien denn nicht lokal vor der Benutzung/Ausführung kontrolliert? Sowas stellt man doch ein, damit der nicht den Server durchsucht. Aber wenn es auf dem Server liegt, stellt es für den lokalen Rechner doch kein Problem dar. Erst wenn man das lokal auf dem Rechner verarbeitet, wird es doch kontrolliert. Ich sehe da keine kritische Lücke, auch wenn die Liste der unkontrollierten Orte einzusehen wäre…

 

[NameHere]

Der Defender wird ja von viele als das einzig wahre AV, der heilige Gral, angesehen.

Eher als ausreichend und 100% Sicherheit gibt es bei keinem AV Programm.

 

[piepenkorn]

Ja ja der gute Microsoft Defender.

 

[maikrosoft]

Werden die Programm oder Dateien denn nicht lokal vor der Benutzung/Ausführung kontrolliert? Sowas stellt man doch ein, damit der nicht den Server durchsucht. Aber wenn es auf dem Server liegt, stellt es für den lokalen Rechner doch kein Problem dar. Erst wenn man das lokal auf dem Rechner verarbeitet, wird es doch kontrolliert. Ich sehe da keine kritische Lücke, auch wenn die Liste der unkontrollierten Orte einzusehen wäre…

Es gibt viele Hobbyprogrammierer die lokal Ordner vom AV ausschließen weil u. U. selbstgeschriebene Scripte als Malware deklariert werden.

 

[Tulol]

Quelle:
Defender Bug via Winfuture

"Obwohl ein Angreifer lokalen Zugriff benötigt, um an die Ausschlussliste von Microsoft Defender zu gelangen,[...]"

Ernsthaft? Wenn der Benutzer das Problem ist, nutzt gar keine Anti Viren Software.
Wenn der Benutzer zudem die Rechte hat irgend etwas am System zu Manipulieren, vor dem er sowieso schon sitzt, kann er jedes(!) Anti Viren Programm schlafen schicken. Er sitzt ja vor der Kiste.

Diese "Lücke" ist so an den Haaren herbeigezogen das es einem schon im Schritt juckt.

Bitte nicht jeden Scheiß einfach so hinnehmen den man irgendwo sieht/liest sondern seinen Kopf einschalten und nachdenken. (würde einigen hardcore Impfgegnern auch mal gut tun)

 

[LorD-AcE]

Hier besteht aber eher das Problem bei bereits kompromittierten Rechnern. Und Microsoft ist allgemein bekannt dafür, dass sie keine Sicherheitsmaßnahmen für bereits gekaperte Maschinen implementieren. Da gibt es viele solcher Lücken im System die Microsoft seit Jahren nicht schließt.

 

[Falc410]

eine gravierende Sicherheitslücke

Gravierend? Nachdem die Lücke in 8 Jahren weder ein CVE noch ein CVSS erhalten hat, können wir ja mal versuchen das kurz zu analysieren.

Schritt 1: Angreifer benötigt Zugriff auf ein lokales User Konto (muss man erstmal schaffen, ausser man ist Innentäter, benötigt also schon mal vorher eine Schwachstelle die man exploiten muss)
Schritt 2: Angreifer hat Glück und findet Ordner die vom Scanner ausgeschlossen sind - wird bei den meisten Anwendern aber nicht der Fall sein und könne bei jedem anderen AV auch eintreten
Schritt 3: Angreifer schafft es Schadcode in diesen Ordner zu plazieren - aber jetzt muss der noch ausgeführt werden und der muss dann ja noch weitere Sicherheitslücken ausnutzen damit man Admin oder GetSystem ausführen kann

Also da muss schon ziemlich viel zusammen kommen. In den News steht ja explizit:
By knowing the list of Microsoft Defender exclusions, a threat actor that already compromised a Windows machine can then store and execute malware from the excluded folders without fear of being spotted.

Also wenn der Rechner schon kompromittiert ist, hat man doch eh schon verloren.

 

[Gnah]

Obwohl ein Angreifer lokalen Zugriff benötigt

/thread.

Wenn der Angreifer bereits lokaler User ist bietet jedes System tonnenweise Einfallsmöglichkeiten. Da ist dann längst Hopfen und Malz verloren.
Wieder mal sensationalistische Schwachsinnsmeldung.

 

[Donald Duck]

Der Defender wird ja von viele als das einzig wahre AV, der heilige Gral, angesehen.

Eher nicht. Er wird als Lösung angesehen, die unaufdringlich ist. Er hat sich gegenüber der Anfangstage halt so gut gemausert, dass er als alleinige Lösung ausreicht.

Manche schwören aber immer noch auf Drittanbieter, zu Unrecht meiner Meinung nach.
Ich sehe das ganz entspannt, weil PC-Sicherheit nicht bei der Virenklingel beginnt, sondern endet.

 

[gymfan]

Es gibt viele Hobbyprogrammierer die lokal Ordner vom AV ausschließen weil u. U. selbstgeschriebene Scripte als Malware deklariert werden.

Jo, genau "Hobbyprogrammierer". Der schreibt Scripte, die vom AV blockiert werden, führt jede beliebige Software auf seinem PC mit Admin-Rechten aus und wundert sich dann, wenn dabei irgendwas unerwartetes passiert.

Das liest sich für mich eher noch einem 15-Jähirgen Halbstarken, der sein Game mit einem "Patch" als nicht vertrauenswürdiger Quelle "tunen" will und sich königlich freut, wenn er es irgendwie ans Laufen bekommt. Mit einem Programmierer hat das nichts zu tun, der wüsste warum die AV-Software sein selber geschriebenes Script blockiert.

Das schöne an einem selbst konfigrierbaren OS ist aber, dass der User selber entscheiden kann, war er nutzt. Also wird auch niemand daran gehinder, anderen AV-Herstellern mehr zu trauen und den besten AV (brain.exe) zu deaktivieren.

Schritt 1: Angreifer benötigt Zugriff auf ein lokales User Konto (muss man erstmal schaffen, ausser man ist Innentäter, benötigt also schon mal vorher eine Schwachstelle die man exploiten muss)

Wenn ich mir in Erinnerung rufe, was die Leute auf ihren privat-PCs für panische Angst hatten, dass ihnen jemand mit Spectre/Meltdown die Passwörter über einen gehäreteten Browser aus dem Ram klauen könnten (selbst mit einem komplett unsicheren Browser, aus dem jemand Zugriff auf das gesamte Ram erhälten sollte. dauert sowas bei 32-64GB Ram bekanntlich Tage) wird auch der von TO erwähnte Hobbyprogrammierer nicht nur mit lokalen Admin-Rechten arbeiten sondern auch jedes Programm, das ihm unter die Finger kommt, sofort ausführen.

 

[Helge01]

Eine öffentlich gemachte Sicherheitslücke, für die sich 8 Jahre lang keiner interessiert, ist keine Sicherheitslücke.