[English]Der Microsoft Defender ist vor einiger Zeit durch eine Schwachstelle in Windows aufgefallen, über die Schadsoftware die vom Virenschutz ausgesparten Ordner abfragen konnte. Es sieht nun so aus, als ob Microsoft diese Schwachstelle stillschweigend korrigiert hat, denn zum Zugriff auf diese Informationen sind nun unter Windows Administratorberechtigungen erforderlich. Allerdings ist es wohl noch nicht auf allen Windows-Systemen korrigiert und es ist auch unklar, ob der Fix per Windows Update (Februar 2022 Patchday) oder über ein Update des Defender unter Windows erfolgt.
Anzeige
Die Schwachstelle im Defender
Ich hatte es zwar mitbekommen, aber nicht separat im Blog aufgegriffen. Der Microsoft Defender hatte eine Schwachstelle, über die Schadsoftware unter Windows die vom Virenschutz ausgesparten Ordner mit Standard-Benutzerberechtigungen abfragen konnte.
Der Hintergrund: Im Defender können Ordner angegeben werden, die von einem Virenscan ausgenommen werden sollen. Sicherheitsforschern ist dann aufgefallen, dass die Liste der vom Microsoft Defender-Scan ausgeschlossenen Orte ungeschützt ist und jeder lokale Benutzer darauf zugreifen kann. Diese Pfade werden in der Registrierung unter folgendem Schlüssel verwaltet:
HKLM\Software\Microsoft\Windows Defender\Exclusions
Durch ungeschickte Rechtevergaben konnten lokale Benutzer (Jeder), unabhängig von ihren Berechtigungen, die Registrierungseinträge des Defender abfragen.
Anzeige
Dies ermöglichte die Abfrage der Pfade, die Microsoft Defender (auf Grund von Administratorvorgaben) nicht auf Malware oder gefährliche Dateien prüfen darf. Betroffen war Windows 10 (in den aktuellen Versionen 21H1 und 21H2), nicht jedoch Windows 11. Die Kollegen von Bleeping Computer hatte dies Mitte Januar 2022 in diesem Artikel aufgegriffen und mehr Details veröffentlicht. Die Schwachstelle soll laut diesem Tweet seit acht Jahren bestehen.
Microsoft passt Berechtigungen an
Im Rahmen ungenannter Updates scheint Microsoft die oben skizzierte Schwachstelle im Defender unter Windows stillschweigend durch Anpassender Berechtigungen beseitigt zu haben. Der nachfolgende Tweet eines Sicherheitsforschers spricht den Sachverhalt an. Es sind plötzlich Administratorberechtigungen erforderlich, um auf die Registrierungseinträge zuzugreifen.
Es sieht so aus, als ob die Sicherheitsupdates vom 8. Februar 2022 diese Schwachstelle beseitigt haben. Sicherheitsforscher Antonio Cocomazzi bestätigt diesen Fix in seinem Tweet. Sicherheitsforscher Will Dormann schreibt aber, dass dies bei ihm nicht auf allen Maschinen gefixt worden sei.
Obige Tweets spiegeln die Diskussion wieder. Mir ist aktuell unklar, ob die Änderungen per Windows Update oder über Updates der Scan Engine des Defender unter Windows umgesetzt werden. Die Kollegen von Bleeping Computer haben das Ganze in diesem Artikel aufgegriffen und die Informationen zusammen gezogen.
Ähnliche Artikel:
Windows Defender: Fixes, Probleme und Log4j-Scanner-Fehlalarme
Windows Server 2019: VM wirft BSOD wegen Windows Defender
Windows Defender bemängelt Windows Hosts-Datei – Teil 2
Anzeige
Am 10. 02. 2022 habe ich auf Windows Update das Update für Microsoft Defender
Antivirus – Antischadsoftwareplattform KB4052623 ( Version 4. 18. 2201.10 )
bekommen. Das Update habe ich installiert.
Danke für die Info!
Version 21H1 (Build 19043.1469) Aktualisierungsstatus vom 18.01.2022
Antimalware-Clientversion: 4.18.2201.10
Modulversion: 1.1.18900.3
Die Abfrage der Ordner funktioniert hier unter der aktuellsten Version des MS-Defenders.
Windows-Aktualisierungen werden hier erst eine Woche nach Erscheinen eingespielt, am 16.02. weiß ich (wissen wir) mehr.
Ich komme gerade von einem anderen PC, der auf aktuelle Version 19043.1526 aktualisiert wurde und kann hiermit bestätigen, daß nach dem WINDOWS-Update Februar 2022 die Abfrage der Verzeichnisse mit normalen Benutzerrechten NICHT MEHR funktioniert – Zugriff wird verweigert.
Die Schwachstelle wurde also durch die "normalen Updates" repariert.