NTFS-Schwachstelle zur Malware-Tarnung

GhostTree: Endlosschleifen hebeln Windows-Virenscans aus

Windows Schwachstelle
Quelle: Alberto Garcia Guillen / Shutterstock.com
LinkedInRedditWhatsApp

Die GhostTree-Technik nutzt rekursive NTFS-Verknüpfungen, um unendlich lange Dateipfade zu erzeugen und Sicherheitssoftware bei Verzeichnisscans auszuhebeln.

Die von Sicherheitsforschern identifizierte GhostTree-Methode basiert auf der missbräuchlichen Verwendung von NTFS-Junctions. Dies sind Verknüpfungen, die in Windows dazu dienen, ein Verzeichnis auf ein anderes zu lenken. Da jeder Nutzer ohne Administratorrechte solche Junctions erstellen kann, lässt sich ein Unterordner so konfigurieren, dass er auf sein eigenes übergeordnetes Verzeichnis zeigt. Dies erzeugt eine logische Endlosschleife.

Anzeige

Tools, die Verzeichnisse rekursiv durchsuchen, folgen dieser Schleife. Da sich der Pfad durch das Hinzufügen weiterer Unterordner-Ebenen theoretisch bis zum Limit der maximalen Pfadlänge von Windows erweitern lässt, können Scanner in eine Endlosschleife geraten und den Vorgang nicht abschließen.

Struktur von GhostBranch und GhostTree

Die Forscher unterscheiden zwischen zwei Varianten dieser Technik:

GhostBranch: Hier wird ein einzelner Unterordner erstellt, der auf das Elternverzeichnis verweist. Dies erzeugt eine lineare Sequenz von Pfaden, die alle auf dieselbe Datei verweisen.

Anzeige

GhostTree: Diese Methode kombiniert mehrere solcher Verknüpfungen (beispielsweise Child1 und Child2), die jeweils zurück auf das Elternverzeichnis zeigen. Dadurch entsteht eine baumartige Struktur.

Durch die Kombination von verschiedenen Verzeichnisnamen an jeder Ebene lassen sich laut den Untersuchungen rechnerisch astronomisch viele eindeutige Dateipfade generieren, die alle auf dieselbe, im Elternordner versteckte Schaddatei führen. Die maximale Tiefe dieser Pfade wird dabei primär durch das von Windows unterstützte Limit der Pfadlänge begrenzt.

Auswirkungen auf Endpoint-Sicherheit

Da Standard-Sicherheitssoftware und EDR-Lösungen (Endpoint Detection and Response) Verzeichnisse beim Scanvorgang in der Regel rekursiv durchlaufen, führt die GhostTree-Struktur dazu, dass der Scanprozess hängen bleibt oder die in der Schleife versteckten Dateien nicht korrekt untersucht werden.

Tests an der Windows-Lösung Windows Defender bestätigten, dass diese Technik genutzt werden kann, um lokale Verzeichnisscans zu umgehen. Das Unternehmen Microsoft bewertete das Umgehen von Defender in diesem Kontext zwar nicht als Überschreitung einer Sicherheitsgrenze, implementierte jedoch in der Folge einen Patch, der die rekursive Ausnutzung einschränkt. Die Sicherheitsforscher weisen darauf hin, dass die Überwachung von Dateisystemaktivitäten, insbesondere die anomale Erstellung von Junctions, als ergänzende Verteidigungsmaßnahme dient.

(red)


Anzeige
31. Juli
17. Juni 2026
BSI setzt Nachfrist: NIS2-Registrierung bis Ende Juli
Windows Schwachstelle
17. Juni 2026
GhostTree: Endlosschleifen hebeln Windows-Virenscans aus
EIDAS, EU-Wallet
17. Juni 2026
EUDI-Wallet: Warum Europas digitale Identität jetzt den Praxistest bestehen muss
Reifegrad, Red Hat, Sovereignty Readiness Assessment, Digitale Souveränität, Red Hat Assessment Tool
17. Juni 2026
Unternehmen fordern deutsche Cloud-Lösungen

Weitere Artikel

Cisco warnt vor neuer Zero-Day-Schwachstelle in SD-WAN
Kritische Schwachstelle: Angreifer können SimpleHelp-Konten erstellen
Ein Klick genügt: Datenleck in Microsoft 365 Copilot entdeckt
Studie zeigt große Sicherheitslücken in Unternehmensservern
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.