Microsoft Defender-Schwachstelle verrät Hackern das beste Einfallstor

Beim Microsoft Defender lässt sich die Malware-Erkennung durch eine Designschwäche umgehen. Es geht dabei um die Ausschlussliste von Microsoft Defender. Mit dieser Liste können Nutzer auswählen, ob es Orte geben soll (lokal und im Netzwerk), die von dem Sicherheitsscan ausgeschlossen werden. Das Problem: Die Liste ist unzureichend gesichert, sie ist sogar beinahe ungeschützt. Das berichtet das Online-Magazin Bleeping Computer. Diese Schwachstelle in Microsoft Defender ist dabei nicht neu und wurde bereits in der Vergangenheit vor rund acht Jahren von Paul Bolton öffentlich gemacht.

Bedrohungsakteure können diese Schwachstelle des Microsoft Defender-Virenschutzes unter Windows ausnutzen, um von der Überprüfung ausgeschlossene Orte zu erfahren und eben genau dort Malware einzuschleusen. Das Problem besteht nach Angaben seit mindestens acht Jahren und betrifft jetzt auch die aktuellen Versionen Windows 10 21H1 und Windows 10 21H2. Windows 11 jedoch ist nicht betroffen.

Problemfall Berechtigungen

Wie bei jeder Antivirenlösung können Nutzer auch bei Microsoft Defender Standorte (lokal oder im Netzwerk) auf ihren Systemen hinzufügen, die von Malware-Scans ausgeschlossen werden sollen. Üblicherweise werden Ausnahmen festgelegt, um zu verhindern, dass Antivirenprogramme die Funktionalität legitimer Anwendungen beeinträchtigen, die fälschlicherweise als Malware erkannt werden. - das kommt häufiger vor, vor allem bei viel Netzwerkverkehr.

Im Umkehrschluss heißt das aber auch, dass diese Ausschusslisten für Angreifer überaus attraktiv sind und daher eigentlich höchsten Schutz verdienen.

Sicherheitsforscher entdeckten, dass die Liste der vom Microsoft Defender-Scan ausgeschlossenen Speicherorte ungeschützt ist und jeder lokale Benutzer darauf zugreifen kann. Unabhängig von ihren Berechtigungen können lokale Benutzer also die Registrierung abfragen und so die Pfade erfahren, die Microsoft Defender nicht auf Malware oder gefährliche Dateien überprüft. Damit spielt man potenziellen Angreifern eine Liste mit scheunentor-artig offenen Einfallstoren in die Hände.

Ein weiteres Problem dabei ist, dass Microsoft Defender auf einem Server automatische Ausschlüsse hat, die aktiviert werden, wenn bestimmte Rollen oder Funktionen installiert werden. Da diese keine benutzerdefinierten Speicherorte sind, sind sie für Hacker noch einfacher auszunutzen.

Obwohl ein Angreifer lokalen Zugriff benötigt, um an die Ausschlussliste von Microsoft Defender zu gelangen, ist dies kein großes Hindernis. Viele Angreifer befinden sich bereits in kompromittierten Unternehmensnetzwerken und suchen nach einer Möglichkeit, sich so unbemerkt wie möglich weiterzuentwickeln.

Microsoft hat das Problem bisher noch nicht als solches anerkannt und eine Änderung vollzogen - zumindest nicht für Windows 10.