Microsoft fixt wohl heimlich Schwachstelle im Defender unter Windows

Windows[English]Der Microsoft Defender ist vor einiger Zeit durch eine Schwachstelle in Windows aufgefallen, über die Schadsoftware die vom Virenschutz ausgesparten Ordner abfragen konnte. Es sieht nun so aus, als ob Microsoft diese Schwachstelle stillschweigend korrigiert hat, denn zum Zugriff auf diese Informationen sind nun unter Windows Administratorberechtigungen erforderlich. Allerdings ist es wohl noch nicht auf allen Windows-Systemen korrigiert und es ist auch unklar, ob der Fix per Windows Update (Februar 2022 Patchday) oder über ein Update des Defender unter Windows erfolgt.


Anzeige

Die Schwachstelle im Defender

Ich hatte es zwar mitbekommen, aber nicht separat im Blog aufgegriffen. Der Microsoft Defender hatte eine Schwachstelle, über die Schadsoftware unter Windows die vom Virenschutz ausgesparten Ordner mit Standard-Benutzerberechtigungen abfragen konnte.

Der Hintergrund: Im Defender können Ordner angegeben werden, die von einem Virenscan ausgenommen werden sollen. Sicherheitsforschern ist dann aufgefallen, dass die Liste der vom Microsoft Defender-Scan ausgeschlossenen Orte ungeschützt ist und jeder lokale Benutzer darauf zugreifen kann. Diese Pfade werden in der Registrierung unter folgendem Schlüssel verwaltet:

HKLM\Software\Microsoft\Windows Defender\Exclusions

Durch ungeschickte Rechtevergaben konnten lokale Benutzer (Jeder), unabhängig von ihren Berechtigungen, die Registrierungseinträge des Defender abfragen.

Microsoft Defender flaw

Dies ermöglichte die Abfrage der Pfade, die Microsoft Defender (auf Grund von Administratorvorgaben) nicht auf Malware oder gefährliche Dateien prüfen darf. Betroffen war Windows 10 (in den aktuellen Versionen 21H1 und 21H2), nicht jedoch Windows 11. Die Kollegen von Bleeping Computer hatte dies Mitte Januar 2022 in diesem Artikel aufgegriffen und mehr Details veröffentlicht. Die Schwachstelle soll laut diesem Tweet seit acht Jahren bestehen.

Microsoft passt Berechtigungen an

Im Rahmen ungenannter Updates scheint Microsoft die oben skizzierte Schwachstelle im Defender unter Windows stillschweigend durch Anpassender Berechtigungen beseitigt zu haben. Der nachfolgende Tweet eines Sicherheitsforschers spricht den Sachverhalt an. Es sind plötzlich Administratorberechtigungen erforderlich, um auf die Registrierungseinträge zuzugreifen.

Defender vulnerability fixed?


Anzeige

Es sieht so aus, als ob die Sicherheitsupdates vom 8. Februar 2022 diese Schwachstelle beseitigt haben. Sicherheitsforscher Antonio Cocomazzi bestätigt diesen Fix in seinem Tweet. Sicherheitsforscher Will Dormann schreibt aber, dass dies bei ihm nicht auf allen Maschinen gefixt worden sei.

Defender vulnerability fixed?

Obige Tweets spiegeln die Diskussion wieder. Mir ist aktuell unklar, ob die Änderungen per Windows Update oder über Updates der Scan Engine des Defender unter Windows umgesetzt werden. Die Kollegen von Bleeping Computer haben das Ganze in diesem Artikel aufgegriffen und die Informationen zusammen gezogen.
Ähnliche Artikel:
Windows Defender: Fixes, Probleme und Log4j-Scanner-Fehlalarme
Windows Server 2019: VM wirft BSOD wegen Windows Defender
Windows Defender bemängelt Windows Hosts-Datei – Teil 2


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows, Windows 10 abgelegt und mit Defender, Sicherheit, Virenschutz verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Microsoft fixt wohl heimlich Schwachstelle im Defender unter Windows

  1. Hans Thölen sagt:

    Am 10. 02. 2022 habe ich auf Windows Update das Update für Microsoft Defender
    Antivirus – Antischadsoftwareplattform KB4052623 ( Version 4. 18. 2201.10 )
    bekommen. Das Update habe ich installiert.

  2. Tom sagt:

    Danke für die Info!

    Version 21H1 (Build 19043.1469) Aktualisierungsstatus vom 18.01.2022
    Antimalware-Clientversion: 4.18.2201.10
    Modulversion: 1.1.18900.3

    Die Abfrage der Ordner funktioniert hier unter der aktuellsten Version des MS-Defenders.
    Windows-Aktualisierungen werden hier erst eine Woche nach Erscheinen eingespielt, am 16.02. weiß ich (wissen wir) mehr.

    • Tom sagt:

      Ich komme gerade von einem anderen PC, der auf aktuelle Version 19043.1526 aktualisiert wurde und kann hiermit bestätigen, daß nach dem WINDOWS-Update Februar 2022 die Abfrage der Verzeichnisse mit normalen Benutzerrechten NICHT MEHR funktioniert – Zugriff wird verweigert.
      Die Schwachstelle wurde also durch die "normalen Updates" repariert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.