Die Art, wie der Windows Defender eingehende Dateien auf integrierte Schadcodes überprüft, offenbart sich jetzt als Problem. Sicherheitsforschern ist es gelungen, dem Security-Tool saubere Dateien vorzugaukeln und Malware daran vorbeizuschleusen.
Die Mitarbeiter von CyberArk, die sich mit dem Problem beschäftigten, nennen das Verfahren "Illusion Gap". Es stellt im Allgemeinen kein sonderlich großes Problem dar, kann aber in bestimmten Situationen gezielt genutzt werden, um einzelne Nutzer direkt anzugreifen. Insbesondere in Firmennetzen kann das Verfahren einige Erfolge versprechen.
Als Angreifer macht man sich dabei zu Nutze, wie Windows-Systeme mit einer SMB-Verbindung umgehen. Versucht ein Anwender aus dem Netzwerk heraus eine ausführbare Datei auf dem SMB-Share zu starten, wird diese im Grunde gleich zweimal zum fraglichen Rechner kopiert. Eine temporäre Kopie holt sich der Windows Defender und prüft sie auf Gefahren. Parallel wandert eine zweite Kopie über das Netzwerk, die dann auf dem Zielsystem ausgeführt wird.
Austricksen per Duplikat
Ein Angreifer, der Kontrolle über den SMB-Server hat, kann diesen nun dazu bringen, die Anfragen zu unterscheiden. So ist es ihm letztlich möglich, dem Windows Defender eine saubere Datei zu präsentieren und ein mit Malware versehenes Duplikat zu übermitteln, wenn es um die Ausführung geht. So ließe sich der Schadcode gezielt auf einen Rechner bringen.
Grundsätzlich, so die Sicherheitsforscher, ist das nicht allein ein Problem des Windows Defenders. Auch andere Security-Programme könnten theoretisch auf die gleiche Weise ausgetrickst werden. Bei Microsoft sieht man die Sache allerdings nicht direkt als Sicherheitsproblem an - vielmehr sei es eine Feature-Frage, ob Nutzer überhaupt Inhalte direkt von einem nicht vertrauenswürdigen SMB-Share ausführen dürfen. Das Entwickler-Team will sich in der nächsten Zeit genauer mit der Sache befassen.
Anmelden
Die Art, wie der Windows Defender eingehende Dateien auf integrierte Schadcodes überprüft, offenbart sich jetzt als Problem. Sicherheitsforschern ist es gelungen, dem Security-Tool saubere Dateien vorzugaukeln und Malware daran vorbeizuschleusen.
Die Mitarbeiter von CyberArk, die sich mit dem Problem beschäftigten, nennen das Verfahren "Illusion Gap". Es stellt im Allgemeinen kein sonderlich großes Problem dar, kann aber in bestimmten Situationen gezielt genutzt werden, um einzelne Nutzer direkt anzugreifen. Insbesondere in Firmennetzen kann das Verfahren einige Erfolge versprechen.