Windows Defender konnte kein Unicode-Zeichen U+202E

[English]Microsoft hat im September 2019 still und heimlich einen Bug im Windows Defender gepatcht. Denn der Virenwächter konnte kein Right-to-left-Overright Unicode-Zeichen U+202E bearbeiten.


Anzeige

Der Windows Defender ist ja der in Windows 8.1 und Windows 10 standardmäßig mitgelieferte Virenscanner. Selbst in Windows 7 ist eine abgespeckte Fassung dabei. Nun müssen Windows und die Programme auch Sprachen unterstützen, in denen Texte von rechts nach links ausgegeben werden. Im Text wird dazu das Unicode-Zeichen U+202E verwendet.

Der Windows Defender gehörte aber wohl zu den Anwendungen, die durch ein solches Unicode-Zeichen in einem Datenstrom aus dem Konzept gebracht werden konnten, wie obiger Tweet signalisiert.

Konkret geht es dabei um sogenanntes File Extension Spoofing, bei dem Nutzer und Anwendungen über eine Dateinamenerweiterung getäuscht werden sollen. Dazu wird das RTL-Zeichen in der Dateinamenerweiterung eingebettet, so das diese Erweiterung nicht mehr erkannt wird.

So kann beispielsweise ein Angreifer eine ausführbare Datei (.exe) spoofed-[LTR]gpj.exe benennen. Durch das LTR-Steuerzeichen wird auf einem System mit Links-nach-rechts-Textausgabe eine Datei spoofed-exe.jpg angezeigt. Durch Kombination mit dem richtigen Dateisymbol kann ein Angreifer eine beliebige Dateiendung nachahmen.

Während das Sicherheitsproblem des Spoofens der Dateiendung durch die Verwendung des RTL-Unicode-Zeichens (oder LTR auf RTL-Systemen) weitgehend bekannt ist, meint dieser Artikel, dass es wohl unbekannt zu sein scheint, dass Microsoft damit begonnen hat, Erkennungsmechanismen für dieses Problem zu seinen Anwendungen hinzuzufügen. Da die Erkennung aber nicht für alle Erweiterungen implementiert ist und in der falschen Reihenfolge implementiert zu sein scheint, ist diese Funktion weitgehend unbekannt.

RTL Filename Spoofing
(RTL Filename Spoofing, Quelle: sec-consult.com)


Anzeige

Die Sicherheitsforscher konnten in einem Proof of Concept zeigen, dass der Windows Defender Version 4.18.1908.7-0 vom vom 25. September 2019 Probleme mit solchen Dateinamen hat. Bei Tests mit Erweiterungen, wie xlsx für ein Microsoft Excel Sheet kam es vor, dass die Erweiterung in umgekehrte Zeichenfolge xslx ausgegeben wurde. Windows Defender Antivirus entfernte die Testdatei beim Versuch, diese auszuführen.

Als Ergebnis wurden zwei Dateien erstellt, mit genau der gleichen ausführbaren Datei, aber mit unterschiedlichen gefälschten Dateinamenerweiterungen. Der zweite Datei wurde gelöscht, während der erste problemlos ausgeführt werden konnte. Von den Sicherheitsforschern wurden auch andere Erweiterungen im Zusammenhang mit Microsoft Office getestet. Es scheint, dass nur die xlsx-Erweiterung eine Erkennung für RTL-Zeichen hatte. Nachdem Microsoft über das Problem informiert wurde, hat das Unternehmen den Windows Defender am 30. September 2019 gepatcht. Details lassen sich in diesem Beitrag nachlesen. Ist nicht so wirklich was weltbewegendes, sondern eher interessante Fußnote am Rande, welches Bugs in mancher Software schlummern.


Anzeige
Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Windows Defender konnte kein Unicode-Zeichen U+202E


  1. Anzeige
  2. Harald.L sagt:

    Interessant wäre, ob auch der Defender von Win 8.1 (nach wie vor ja im Support, ich nutze das z.B. auf meinem Rechner) ebenfalls betroffen ist. Der steht ja schon seit “ewigen Zeiten” festgenagelt auf Version 4.10.209.0 obwohl da beim Win10-Defender zwischenzeitlich immer wieder aktualisiert werden mußte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (SEO-Posts/SPAM lösche ich). Kommentare abseits des Themas bitte unter Diskussion.