Anzeige

Windows

Quelle: Wachiwit / Shutterstock.com

Die Sicherheitsforscher von SentinelLabs, der Forschungsabteilung von SentinelOne, haben im November 2020 eine schwerwiegende Schwachstelle bei der Software Windows Defender entdeckt, deren Befund nun veröffentlicht wurde.

Die Sicherheitslücke erlaubt eine Ausweitung der Berechtigungen als Nicht-Administrator, wodurch beispielsweise Schadprogramme von Angreifern eingeschleust werden können. Windows Defender ist tief in das Windows-Betriebssystem integriert und ist standardmäßig auf jedem Windows-Rechner (mehr als 1 Milliarde Geräte) installiert, was diese Schwachstelle besonders gefährlich macht. 

Auf Berechtigungen basierte Dienste in Windows oder in Windows-Komponenten können Fehler enthalten, die eine missbräuchliche Ausweitung von Zugriffsrechten ermöglichen. Angreifer nutzen solche Schwachstellen oft aus, um ausgefeilte Angriffe durchzuführen. Sicherheitslösungen sorgen in der Regel für Geräte- und Netzwerksicherheit, indem sie solche Angriffe verhindern, doch in diesem Fall war es eine eben solche Software, in der eine Sicherheitslücke entdeckt wurde.

Schwerwiegende Sicherheitslücke in Treiber von Antivirussoftware

Verantwortlich für die Schwachstelle ist ein interner Treiber mit dem Namen BTR.sys. Er ist Teil des Wiederherstellungsprozesses innerhalb von Windows Defender und zuständig für das Löschen von Dateisystem- und Registry-Ressourcen, die von bösartiger Software im Kernel-Modus erstellt wurden. Wenn er geladen wird, erstellt der Treiber zunächst einen Handle auf eine Datei, die das Protokoll seiner Operationen enthält, wenn er aktiviert wird. Das Problem liegt in der Art und Weise, wie der Treiber das Handle zu dieser speziellen Datei erstellt, was Angreifern erlauben könnte, beliebige Dateien zu überschreiben. 

Die Sicherheitsforscher haben Versionen des Treibers gefunden, die den Fehler enthalten und von Microsoft bereits 2009 signiert wurden. Der Fehler könnte möglicherweise auch schon vor 2009 existiert haben, doch das bei der Untersuchung verwendete Tool VirusTotal erlaubt nur die Suche nach Dateien, die innerhalb eines begrenzten Zeitraums hochgeladen wurden.

Microsoft hat die Sicherheitslücke in Windows Defender gepatcht und am 9. Februar 2021 einen Fix veröffentlicht. Vor dem Patch blieb die Schwachstelle allerdings 12 Jahre lang unentdeckt, vermutlich aufgrund der Art und Weise, wie dieser spezielle Mechanismus aktiviert wird. SentinelOne sind keine Hinweise bekannt, dass diese Schwachstelle zum jetzigen Zeitpunkt bereits ausgenutzt wurde. Kunden von SentinelOne sind vor dieser Sicherheitslücke geschützt, da dieser Treiber bei der Installation des SentinelOne-Agenten nicht geladen wird.

Weitere Informationen und technische Details zu der Sicherheitslücke finden Sie auf der hier

https://labs.sentinelone.com/


Artikel zu diesem Thema

Cyber Security
Feb 15, 2021

Schwachstellen in Kommunikationsprotokollen: Number:Jack

Schwachstellen in den Kommunikationsprotokollen, die von Millionen Geräten im Internet of…
Microsoft
Feb 12, 2021

Microsoft schließt kritische Zerologon-Schwachstelle

Satam Narang von Tenable kommentiert die aktuellen Microsoft-Patches, mit denen eine…
Boxhandschuhe
Jan 20, 2021

Remote Work: Windows vs. MacOS

Trends in der IT brauchen oft Jahre oder sogar Jahrzehnte, um sich durchzusetzen. In den…

Weitere Artikel

EU Buch

Es wird Zeit für eine europäische Cyber-Sicherheitsstrategie

Die rasante Digitalisierung, insbesondere bedingt durch die Corona-Pandemie, stellt nicht nur die Europäische Union, sondern alle Regierungen weltweit vor große Herausforderungen. Hacker nutzen die Situation aus und sind mit Spionage-, Ransomware- und…
Drohne

Der Tesla Drohnen-Hack - Sicherheitsrisiken bei Softwarekomponenten

Den deutschen Sicherheitsexperten Ralf Philipp Weinmann und Benedikt Schmotzle ist es gelungen, einen Tesla Model X aus der Luft zu hacken, berichtet Forbes. Mit einer Drohne, die mit einem Wifi-Dongle ausgerüstet war, öffneten sie die Türen des Fahrzeugs.
World Password Day

Alle Jahre wieder - World Password Day

Der erste Donnerstag im Mai ist „Welt-Passwort-Tag“. Der Aktionstag wurde 2013 von der Intel Corporation ins Leben gerufen, um für einen bewussteren Umgang mit Passwörtern zu werben.
Passwortmanagement

IT-Security: Mehr als nur Passwörter

Nutzer empfinden Passwörter häufig als störend, obwohl sie bei achtlosem Einsatz Sicherheitslücken verursachen.
SSL-Zertifikat

Verkürzte Laufzeit: SSL-Zertifikate nur noch 13 Monate gültig

Es gab Zeiten, in denen SSL-Zertifikate eine Laufzeit von fünf Jahren aufwiesen. Das ist vorbei: Zuletzt hatte Apple im Alleingang dafür gesorgt, dass die SSL-Zertifikat-Laufzeit auf ein Jahr reduziert wurde. „Das ist mit Vorteilen für die Sicherheit…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.