- Die Antivirensoftware Defender von Microsoft weist eine Schwachstelle auf, die es Hackern ermöglichen könnte, Schadcode auf anfälligen Windows-PCs auszuführen.
- Seit mindestens acht Jahren betrifft dieses Problem Windows 10 21H1 und Windows 10 21H2; Es wurde jedoch erst vor kurzem entdeckt und identifiziert.
- Der Virus ermöglicht es Hackern, bösartige Programme in nicht routinemäßigen Bereichen des Computers zu speichern, wodurch sie Antivirus-Scans umgehen können.
Ein Angreifer kann eine Schwachstelle in der Antivirenfunktion von Microsoft Defender ausnutzen, um Malware an Orten zu platzieren, die Windows Defender vom Scannen ausschließt.
Das Problem besteht seit mindestens acht Jahren, obwohl es erst kürzlich identifiziert wurde und Windows 10 21H1 und Windows 10 21H2 betrifft.
Standorte hinzufügen
Microsoft Defender kann bestimmte Orte auf Ihrem Computer vom Scannen ausschließen, um sicherzustellen, dass Bereiche mit wichtigen Informationen nicht versehentlich durch einen Antivirenscan beschädigt werden.
Es gibt viele legitime Softwareanwendungen, die aus verschiedenen Gründen von Antivirenprogrammen fälschlicherweise als Malware identifiziert und somit isoliert oder für den Zugriff auf einen Computer blockiert werden.
Wenn ein Benutzer einen Benutzernamen in seine Ausnahmeliste aufnimmt, könnte dies einem Angreifer auffallen nützliche Informationen zum System. Es ermöglicht ihnen, bösartige Dateien in Bereichen des Computers zu speichern, die während eines Routinescans nicht durchsucht werden.
Sicherheitsforscher fanden heraus, dass die Sicherheitssoftware Defender von Microsoft eine Liste gefährlicher Orte vom Scannen ausschließt, aber dass jeder lokale Benutzer darauf zugreifen kann.
Kompromittierte Abdeckung
Obwohl Windows Defender die Registrierung auf Malware und gefährliche Dateien überprüfen darf, können lokale Benutzer die Registrierung abfragen, um festzustellen, welche Pfade Defender nicht überprüfen darf.
Antonio Cocomazzi, der Bedrohungsforscher, dem die Entdeckung der RemotePotato0-Schwachstelle zugeschrieben wird, stellt fest, dass es keine Sicherheit für diese Informationen gibt.
Obwohl Microsoft Defender nicht alles scannt, zeigt sein Befehl „reg query“ an, was das Programm nicht scannen soll, einschließlich Dateien, Ordnern, Erweiterungen und Prozessen.
Ein anderer Windows-Sicherheitsexperte, Nathan McNulty, sagt, dass das Problem nur in den Windows 10-Versionen 21H1 und 21H2 auftritt, aber es wird Windows 11 nicht betreffen.
Gruppenrichtlinieneinstellungen
Eine andere Möglichkeit, Gruppenrichtlinieneinstellungen abzurufen, besteht darin, die Liste der Ausschlüsse aus der Registrierung abzurufen. Diese Informationen enthalten Details darüber, was ausgeschlossen wird, und sind sensibler als die bloße Auflistung, welche Einstellungen auf einem bestimmten Computer aktiv sind.
Microsoft empfiehlt, automatische Ausschlüsse in zu deaktivieren Microsoft Defender wenn die Serverplattform nicht für den Microsoft-Stack dediziert ist, sagt McNulty. Wenn auf einem Server Nicht-Microsoft-Software ausgeführt wird, sollten Sie Defender erlauben, beliebige Speicherorte zu scannen.
Obwohl die Microsoft Defender-Ausschlussliste von einem Angreifer mit lokalem Zugriff abgerufen werden kann, ist dies eine kleine Herausforderung, die es zu überwinden gilt.
Wenn ein Unternehmensnetzwerk bereits kompromittiert ist, suchen Angreifer oft nach Möglichkeiten, sich mit weniger auffälligen Tools fortzubewegen.
Kompletter Suchlauf
Microsoft Defender lässt den Ausschluss bestimmter Ordner zu, um zu verhindern, dass das Antivirenprogramm Dateien an diesen Speicherorten scannt. Der Malware-Autor kann dann infizierte Dateien aus diesen Ordnern speichern und ausführen, ohne entdeckt zu werden.
Ein leitender Sicherheitsberater sagt, dass er das Problem vor etwa acht Jahren zum ersten Mal bemerkte und sofort das Potenzial für böswillige Verwendung erkannte.
„Ich habe mir immer gesagt, dass ich, wenn ich eine Art Malware-Entwickler wäre, einfach die WD-Ausschlüsse nachschlagen und sicherstellen würde Legen Sie meine Payload in einem ausgeschlossenen Ordner ab und/oder benennen Sie sie genauso wie einen ausgeschlossenen Dateinamen oder eine ausgeschlossene Erweiterung“, erklärte er Aura.
Wenn Sie ein Netzwerkadministrator für eine Microsoft-Umgebung sind, konsultieren Sie Ihre Microsoft-Dokumentation für Informationen zum Ausschließen des Defender-Programms vom Scannen und Ausführen auf allen Ihren Servern und lokal Maschinen.
Was sind Ihre größten Bedenken hinsichtlich der Lücke, die Hackern die Möglichkeit bietet, Microsoft Defender zu umgehen? Teilen Sie uns Ihre Gedanken im Kommentarbereich unten mit.
![Windows 10 Heimnetzgruppe entfernt / fehlt [Get it back]](/f/4fcadeea24cbc031d2e1e550b17b87ae.jpg?width=300&height=460)