Anzeige

Windows

Quelle: Wachiwit / Shutterstock.com

Die Sicherheitsforscher von SentinelLabs, der Forschungsabteilung von SentinelOne, haben im November 2020 eine schwerwiegende Schwachstelle bei der Software Windows Defender entdeckt, deren Befund nun veröffentlicht wurde.

Die Sicherheitslücke erlaubt eine Ausweitung der Berechtigungen als Nicht-Administrator, wodurch beispielsweise Schadprogramme von Angreifern eingeschleust werden können. Windows Defender ist tief in das Windows-Betriebssystem integriert und ist standardmäßig auf jedem Windows-Rechner (mehr als 1 Milliarde Geräte) installiert, was diese Schwachstelle besonders gefährlich macht. 

Auf Berechtigungen basierte Dienste in Windows oder in Windows-Komponenten können Fehler enthalten, die eine missbräuchliche Ausweitung von Zugriffsrechten ermöglichen. Angreifer nutzen solche Schwachstellen oft aus, um ausgefeilte Angriffe durchzuführen. Sicherheitslösungen sorgen in der Regel für Geräte- und Netzwerksicherheit, indem sie solche Angriffe verhindern, doch in diesem Fall war es eine eben solche Software, in der eine Sicherheitslücke entdeckt wurde.

Schwerwiegende Sicherheitslücke in Treiber von Antivirussoftware

Verantwortlich für die Schwachstelle ist ein interner Treiber mit dem Namen BTR.sys. Er ist Teil des Wiederherstellungsprozesses innerhalb von Windows Defender und zuständig für das Löschen von Dateisystem- und Registry-Ressourcen, die von bösartiger Software im Kernel-Modus erstellt wurden. Wenn er geladen wird, erstellt der Treiber zunächst einen Handle auf eine Datei, die das Protokoll seiner Operationen enthält, wenn er aktiviert wird. Das Problem liegt in der Art und Weise, wie der Treiber das Handle zu dieser speziellen Datei erstellt, was Angreifern erlauben könnte, beliebige Dateien zu überschreiben. 

Die Sicherheitsforscher haben Versionen des Treibers gefunden, die den Fehler enthalten und von Microsoft bereits 2009 signiert wurden. Der Fehler könnte möglicherweise auch schon vor 2009 existiert haben, doch das bei der Untersuchung verwendete Tool VirusTotal erlaubt nur die Suche nach Dateien, die innerhalb eines begrenzten Zeitraums hochgeladen wurden.

Microsoft hat die Sicherheitslücke in Windows Defender gepatcht und am 9. Februar 2021 einen Fix veröffentlicht. Vor dem Patch blieb die Schwachstelle allerdings 12 Jahre lang unentdeckt, vermutlich aufgrund der Art und Weise, wie dieser spezielle Mechanismus aktiviert wird. SentinelOne sind keine Hinweise bekannt, dass diese Schwachstelle zum jetzigen Zeitpunkt bereits ausgenutzt wurde. Kunden von SentinelOne sind vor dieser Sicherheitslücke geschützt, da dieser Treiber bei der Installation des SentinelOne-Agenten nicht geladen wird.

Weitere Informationen und technische Details zu der Sicherheitslücke finden Sie auf der hier

https://labs.sentinelone.com/


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cyber Security
Feb 15, 2021

Schwachstellen in Kommunikationsprotokollen: Number:Jack

Schwachstellen in den Kommunikationsprotokollen, die von Millionen Geräten im Internet of…
Microsoft
Feb 12, 2021

Microsoft schließt kritische Zerologon-Schwachstelle

Satam Narang von Tenable kommentiert die aktuellen Microsoft-Patches, mit denen eine…
Boxhandschuhe
Jan 20, 2021

Remote Work: Windows vs. MacOS

Trends in der IT brauchen oft Jahre oder sogar Jahrzehnte, um sich durchzusetzen. In den…

Weitere Artikel

Cloud Security

CrowdStrike kündigt neue Funktionen für die Falcon-Plattform an

CrowdStrike Inc. kündigte neue Funktionen für die CrowdStrike Falcon®-Plattform an, die das Cloud Security Posture Management (CSPM) und die Cloud Workload Protection (CWP) verbessern und mehr Kontrolle, Transparenz und Sicherheit für Cloud-Workloads und…
Security Lock

Warum jedes Unternehmen eine VDP braucht

Nach wie vor haben nur die wenigsten Unternehmen eine Vulnerability Disclosure Policy (VDP) im Einsatz. Das ist verwunderlich, hilft eine VDP Unternehmen doch dabei, sicherer zu werden.
IT-Sicherheitsgesetz

IT-Sicherheitsgesetz 2.0 soll Cybersicherheit erhöhen

Das neue IT-Sicherheitsgesetz 2.0 des Bundesinnenministeriums steht kurz vor der Verabschiedung. Es sieht unter anderem Veränderungen im Zusammenhang mit dem Schutz kritischer Infrastrukturen (KRITIS) vor. Für KRITIS-Unternehmen soll es zum Beispiel eine…
Cyber Security

Cyberrisiken für kritische und industrielle Infrastrukturen erreichen ein Allzeithoch

Ein neuer Bericht von Nozomi Networks Labs zeigt, dass Cyber-Bedrohungen für industrielle und kritische Infrastrukturen einen neuen Höhepunkt erreicht haben, da kriminelle Akteure sich auf hochwertige Ziele konzentrieren.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!