[English]Lange hat es nicht gedauert: In Windows 10 Fall Creators Update (V1709) hat Microsoft beim Defender auch das Thema Ordnerschutz spendiert. Soll gegen Ransomware helfen. Jetzt gibt es Berichte, dass Forscher diesen Ransomware-Schutz ganz einfach per OLE umgehen konnten – ist laut Microsoft keine Sicherheitslücke, sondern wird, dank Windows-as-a-service, irgendwann gefixt.
Anzeige
Darum geht es: Ordnerschutz beim Windows-Defender
Im Windows Defender ist ab Windows 10 Fall Creators Update (V1709) eine neue Funktion Ordnerschutz (Folder Protection) mit an Bord. Diese soll das Schreiben und Manipulieren von Dateien durch unberechtigte Anwendungen (Malware, Ransomware) unterbinden. Eingeschaltet wird der Ordnerschutz über folgende Schritte:
1. Rufen Sie die Einstellungen-App per Startmenü auf und gehen Sie zu Update und Sicherheit.
2. In der Kategorie ist dann die Unterkategorie Windows Defender zu wählen und die Schaltfläche Windows Defender Security Center öffnen anzuwählen.
3. Im Windows Defender Security Center klickt man auf Viren- & Bedrohungsschutz und in der Folgeseite auf Einstellungen für Viren- & Bedrohungsschutz.
4. Dort ist der Schalter Überwachter Ordnerzugriff auf Ein zu stellen.
Im Anschluss kann man über Geschützte Ordner die zu überwachenden Ordner festlegen. Über App durch überwachten Ordnerzugriff zulassen lassen sich Anwendungen in eine Whitelist aufnehmen, um in die Ordner schreiben zu können. Diese Funktion erfordert aber administrative Rechte. Eine sinnvolle Funktion. Allerdings hatte ich mir im Blog-Beitrag Windows 10 V1709: Klippen beim Defender? schon mal Gedanken um diese Funktion gemacht und bin etwas ratlos zurück geblieben.
Anzeige
Ordnerschutz mutmaßlich per OLE umgangen
Bleeping Computer berichtet nun hier, dass es Sicherheitsforschern gelungen sei, diesen Ordnerschutz zu umgehen. Dem spanischen Sicherheitsforscher von SecurityByDefault, Yago Jesus, ist aufgefallen, dass Microsoft automatisch alle Office-Anwendungen auf eine White-List gesetzt hat. Das bedeutet, dass Office-Anwendungen Dateien, die sich in einem geschützten Ordner befinden, ändern (und den CFA-Schutz so umgehen) können, ob es dem Benutzer gefällt oder nicht.
Laut Jesus kann ein Ransomware-Entwickler die Microsoft CFA Anti-Ransomware-Funktion leicht umgehen, indem er einfache Skripte in seiner Schadsoftware hinzufügt, die den Ordnerschutz (CFA) über OLE-Objekte in Office-Dateien umgehen. Der entsprechende Ansatz wurde von Jesus am Wochenende hier veröffentlicht. Es gibt dort drei Beispiele für manipulierte Office-Dokumente (die per Spam-E-Mail verteilt werden könnten). Diese lassen sich verwenden, um den Inhalt anderer Office-Dokumente, die in geschützten -Ordnern gespeichert sind, zu überschreiben, die gleichen Dateien mit einem Kennwort zu schützen oder ihren Inhalt in Dateien außerhalb des CFA-Ordners einzufügen, diese zu verschlüsseln und die Originale zu löschen.
Während das erste Beispiel nur destruktiv ist, funktionieren die zwei anderen Beispiele für Ransomware, um vom Opfer Lösegeldes zur Freischaltung des Passwort-/Entschlüsselungscode zu fordern.
Unzufrieden mit der Reaktion Microsofts
Der Sicherheitsforscher hat Microsoft über das von ihm entdeckte Problem informiert, ist aber unzufrieden mit der Reaktion des Herstellers. In einem Screenshot der E-Mail, die er von Microsoft erhielt, dokumentiert Jesus, dass der Hersteller des Betriebssystems das Problem nicht als Sicherheitsschwachstelle eingestuft habe. Microsoft will den Ordnerschutz in zukünftigen Versionen verbessern, um die berichtete Bypass-Methode zu adressieren. Mir kommt die Funktion eh wie eine Baustelle vor.
Ähnliche Artikel:
Windows 10 V1709: Klippen beim Defender?
Windows Defender Offline scannt nicht
Windows Defender: Update KB4052623
Windows-Defender und Kontextmenü zur Dateiprüfung?
2015
microsoft entscheidet also mit, welcher anwendung der nutzer "vertraut" – tolles sicherheitsdesign!
findet seine ursache bestimmt wieder in der kategorie "bequemlichkeit": triumph der bequemlichkeit ueber die sicherheit hat ja tradition im hause microsoft.
Microsoft ist da eben nur ein kleiner Denkfehler unterlaufen in dem es seine eigenen Programme (z.b. Microsoft Office) uneingeschränkten Vollzugriff erlaubt "von Microsoft als gutartig eingestufte Apps", fange ich mir also zum Beispiel über Outlook einen entsprechenden Wurm oder Verschlüsselungstrojaner ein hat dieser auch uneingeschränkten Vollzugriff auf die Daten die ich eigentlich schützen möchte.
Das Problem ist das Design des Schutzes.
Wer Office nutzen will, muss es zulassen, und wenn Office ausgenutzt wird, dann bekommen Schadprogramme eben Zugriff über Office. Dasselbe gilt für jedes Programm, das zugelassen wird, daher ist weniger schlimm, dass Office bereits zugelassen ist, eher dass der Schutz ausgehebelt wird durch Schwachstellen in zugelassenen Programmen.
Das alles läuft wohl auf Bequemlichkeit hinaus, aber PCs sind eben heute eine Massenware geworden und man muss dem irgendwie Rechnung tragen. Die Zeit ist vorbei, wo nur Nerds im Keller sich an PCs erfreuen.