Aktuelles
Von:
Filter
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Microsoft Defender: Der Erkennung mit Komma entgehen!

1707759921235.png

Ein IT-Forscher hat entdeckt, dass sich die Erkennung des Microsoft Defenders mit einem Komma austricksen lässt.

Im Microsoft Defender steckt eine Schutzkomponente, die Ausführung von Schadcode mithilfe von rundll32.exe erkennen und unterbinden soll.
Dieser Mechanismus lässt sich derzeit leicht austricksen, hat ein IT-Forscher in der vergangenen Woche mitgeteilt.

In einer
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, dass er bereits 2022 gezeigt hatte, dass sich der Schutz vor Ausführung von Malware durch Start mit rundll32.exe umgehen ließ.
Er zeigt, wie sich Malware von externer Quelle einschleusen lässt, indem bei der Referenzierung von mshtml beim Aufruf von rundll32.exe eine sogenannte Path Traversal missbraucht wird, im konkreten Fall ein zusätzliches "..\".

Microsoft Defender: Alte Umgehung mit neuem Trick.​

Im Beispiel wurde aus rundll32.exe javascript:"\..\..\mshtml,RunHTMLApplication ";alert(1), was mit einer Fehlermeldung und Warnung durch Windows Defender quittiert wird, einfach rundll32.exe javascript:"\..\..\..\mshtml,RunHTMLApplication ";alert(666), was an der administrativen Kommandozeile ausgeführt wurde.
Anstatt einer Anzeige eines alert lässt sich mit der Javascript-Anweisung GetObject Schadcode von externer Quelle herunterladen.

Das hat Microsoft offenbar inzwischen unterbunden, auch die Variante mit der Pfad Erweiterung wirft eine Fehlermeldung aus.
Ergänzt ein bösartiger Akteur aber hinter der mshtml-Referenz ein zusätzliches Komma, lässt sich der Microsoft-Defender Schutz erneut austricksen, der untergeschobene Code gelangt zur Ausführung: rundll32.exe javascript:"\..\..\mshtml,,RunHTMLApplication ";alert(666) zeigt den Alarmdialog mit der Zeichenfolge "666" an.

Die
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
des BSI als mittelschwer eingestuft, mit einer vorläufigen CVSS-Bewertung von 5.3. Dennoch ermöglicht solch eine Lücke Angreifern, sich etwa im System einzunisten oder weiter auszubreiten.
Die Antwort auf eine Anfrage, ob Microsoft bereits Kenntnis von der Schwachstelle hat, an einer Fehlerkorrektur arbeitet und wann die zu erwarten ist, steht derzeit noch aus.

Microsoft rüstet die Defender-Anti-Malware mit immer weiteren Schutzmechanismen aus.
Ende vergangenen Jahres kam etwa die Unterstützung durch Künstliche Intelligenz hinzu, die menschengesteuerte Angriffe wie Ransomware-Attacken automatisch erkennen und blockieren können soll.


Quelle: heise online
 
Zum Vergrößern anklicken....

Ähnliche Themen

l00pm45ch1n3
  • Artikel
PC & Internet Windows 10/11: Microsoft Defender nicht mehr abschaltbar
Antworten
0
Aufrufe
2K
l00pm45ch1n3
l00pm45ch1n3
u040201
  • Artikel
Hardware & Software Alert! Patchday: Microsoft meldet fünf Zero-Days, teils ohne Update
Antworten
0
Aufrufe
1K
u040201
u040201
u040201
  • Artikel
Hardware & Software Alert! Patchday Microsoft: Attacken auf sechs Lücken, Exchange-Patches endlich da
Antworten
0
Aufrufe
1K
u040201
u040201
josef.13
  • Artikel
PC & Internet Angreifer nutzen 0-Day zur Umgehung der Windows-Sicherheitswarnung
Antworten
1
Aufrufe
1K
moppy
moppy
edgonzo
  • Artikel
Hardware & Software Cherry Loader: Ein neuer Go-basierter Loader, der bei jüngsten Eindringlingen entdeckt wurde!
Antworten
0
Aufrufe
1K
edgonzo
edgonzo
Zurück
Oben