Microsoft schließt 12 Jahre alte Schwachstelle CVE-2021-24092 im Defender (9.2.2021)

[English]Zum Patchday (9. Februar 2021) hat Microsoft auch die seit vermutlich mindestens 12 Jahren bestehende Schwachstelle CVE-2021-24092 im Defender beseitigt. Diese ermöglicht es einem Angreifer ein Privilegien-Erhöhung unter Windows, und dies ohne Zutun des Benutzers. Eine Ausnutzung ist aber nicht bekannt.


Anzeige

Zum 9. Februar 2021 gab es ein Sicherheitsupdate für den Microsoft Defender (vormals Windows Defender) und von Microsoft gibt es die Beschreibung der Schwachstelle CVE-2021-24092. Das Ganze betrifft laut Microsoft die Microsoft Malware Protection Engine-Versionen ab 1.1.17700.4, in der Version 1.1.17800.5 ist der Bug gefixt.

Die Beschreibung zu CVE-2021-24092 (Microsoft Defender Elevation of Privilege Vulnerability) von Microsoft liefert keine wirklichen Detail. Aber die Sicherheitsforscher von Sentinel LABS, die die Schwachstelle entdeckten, haben die Schwachstelle am 10. Februar 2021 im Beitrag CVE-2021-24092: 12 Years in Hiding – A Privilege Escalation Vulnerability in Windows Defender beschrieben.

Die Schwachstelle CVE-2021-24092

Der Defender ist seit Windows 7 (eigentlich seit Windows XP/Vista) auf jedem System als Windows Defender tief im Betriebssystem integriert, wird jetzt aber als Microsoft Defender bezeichnet. Wir sprechen von mehr als 1 Milliarde Geräten, die durch die Schwachstelle gefährdet waren. Da die Microsoft Malware Protection Engine-Versionen auch bei anderen Produkten (Forefront, Microsoft Security Essentials etc.) zum Einsatz kommt, könnte die Schwachstelle dort auch vorgelegen haben (hier treffen die Sicherheitsforscher, die das entdeckt haben, aber keine Aussage).

Bei CVE-2021-24092 handelt es sich eine schwerwiegende Sicherheitslücke im Windows Defender, die es Angreifern ermöglicht, von einem Nicht-Administrator-Benutzerkonto aus die Rechte zu erweitern. Problem war der Treiber BTR.sys (Boot Time Removal Tool), der als Teil des Bereinigungsprozesses innerhalb von Windows Defender für das Löschen von Dateisystem- und Registrierungsressourcen zuständig ist. Dies ermöglicht dem Defender solche Elemente, die von bösartiger Software im Kernel-Modus erstellt wurden, zu entfernen.

Defender-Schwachstelle CVE-2021-24092
Defender-Schwachstelle CVE-2021-24092 in BTR.sys, Quelle Sentinel LABS

Wird der Treiber geladen, erstellt er zunächst ein Handle auf eine Datei, die das Protokoll der Operationen bei der Aktivierung enthält. Das Problem bei der Schwachstelle liegt in der Art und Weise, wie der Treiber das Handle zu dieser speziellen Datei erstellt (siehe Screenshot).

Das Register r14d wird mit xored auf Null gesetzt, so dass der Parameter CreateDisposition die Konstante FILE_SUPERSEDE erhält. FILE_SUPERSEDE wird als eine Transaktion betrachtet, die zuerst die Originaldatei löscht und dann eine neue Datei erstellt. In der betreffenden Routine gibt es keinerlei Überprüfung, ob es sich bei dieser Datei um eine Verknüpfung handelt oder nicht. Das Erstellen eines (Hard-) Links auf

C:\Windows\Temp\BootClean.log


Anzeige

würde es Angreifern also ermöglichen, beliebige Dateien zu überschreiben. Die Sicherheitsforscher demonstrieren im Beitrag das Szenario, mit dem sich Benutzerrechte ohne Zutun des Benutzers erhöhen und Dateien mit Malware überschreiben lassen. Bei einer Suche auf VirusTotal wurden von Microsoft signierte Versionen dieses Treibers aus dem Jahr 2009 gefunden, die den Fehler enthielten. Microsoft sieht die Ausnutzung der Schwachstelle als wenig wahrscheinlich an, hat den Defender aber am 9. Februar 2021 automatisch aktualisiert. Berichte über eine Ausnutzung gibt es bisher nicht. (via)

Ähnliche Artikel:
Windows Server 2019 und Defender-Performance-Probleme
Microsoft Defender-Paket für Windows-Image-Updates
Microsoft Defender Download-Feature wieder weg …
Sicherheitsbedenken wegen Microsoft Defender Download-Feature
Microsoft Defender blockiert Citrix-Dienste als Trojaner

Windows Defender markiert CCleaner als PUP – Teil 1
Windows Defender löscht Windows Hosts-Datei – Teil 2
Defender blockt hosts-Einträge mit Umleitungen von Microsoft-Seiten – Teil 3

Windows 10: Vergisst der Defender definierte Ausschlüsse?
Windows 10: Ist der Defender GUI-Bug zu definierten Ausschlüssen gefixt?
Windows 10: Fix für Defender GUI-Bug zu definierten Ausschlüssen

Defender-Update KB4052623 killt Offline-Scan und mehr
Windows 10: Defender überspringt Elemente beim Scannen
Update KB4052623: Microsoft fixt Defender Scan-Skip-Bug
Windows 8.1 Pro: Defender-Alarm nach KB4580347
Windows 10: Defender Application Guard statt Edge starten
Microsoft Defender ATP stuft Chrome-Update als PHP-Backdoor ein
Microsoft Defender Antimalware Platform: Juni 2020 Update KB4052623 wirft Error 0x8024200B
SCEP/MSE/Defender: Weltweiter Ausfall von Microsofts Virenschutz durch Signatur 1.313.1638.0 (16.4.2020)
Windows Defender konnte kein Unicode-Zeichen U+202E
Microsoft Defender ATP Credential-Theft bypassing?
Analyse: Nodersok-Malware – vom Defender nicht immer erkennbar


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Update, Virenschutz abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Microsoft schließt 12 Jahre alte Schwachstelle CVE-2021-24092 im Defender (9.2.2021)

  1. Reto Felix sagt:

    Hallo Günter
    Du schreibst:
    Das Ganze betrifft laut Microsoft die Microsoft Malware Protection Engine-Versionen 1.1.17700.4 bis 1.1.17800.5.

    Unter https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24092
    steht:
    Erste Version der Microsoft Malware Protection Engine, in der diese Sicherheitsanfälligkeit behoben wurde Version 1.1.17800.5

    Somit ist 1.1.17800.5 nicht mehr betroffen.

  2. Info sagt:

    Derzeit seit 11.02.2021 spät abends, W10 V1909, neu bei

    Antimalware-Clientversion: 4.18.2101.9
    Modulversion: 1.1.17800.5
    Antispyware-Version: 1.331.774.0
    Antiviren-Version: 1.331.774.0

Schreibe einen Kommentar zu Reto Felix Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.