Dies ist eine mobil optimierte Seite, die schnell lädt. Wenn Sie die Seite ohne Optimierung laden möchten, dann klicken Sie auf diesen Text.

PC & Internet Lesetipp: Wenn der Microsoft Defender zum Angreifer wird

Lesetipp: Wenn der Microsoft Defender zum Angreifer wird​

11.08.2023 11:28 Uhr Olivia von Westernhagen

(Bild: vectorfusionart/Shutterstock.com)

Forscher haben spannende Details zu einer im April gefixten Lücke im Defender-Signaturupdateprozess veröffentlicht. Sie sehen Potenzial für künftige Angriffe.

Was würde passieren, wenn Microsofts Anti-Viren-Lösung Defender durch manipulierte Signaturupdates vom Virenwächter zum Systemzerstörer mutiert? Dass dieses Albtraumszenario gar nicht so unrealistisch ist, haben Sicherheitsforscher der Firma SafeBreach Labs auf der diesjährigen Black-Hat-Konferenz erläutert.

Defender-Pretender​

Mittels einer von ihnen entdeckten Sicherheitslücke, Standardbenutzerrechten und einem selbst geschriebenen Proof-of-Concept-Tool namens "Defender-Pretender" gelang es ihnen, dem Defender-Updates mit speziell angepassten Signaturen unterzujubeln. Diese hätten das AV-Programm dann etwa zum Durchwinken zerstörerischen Codes oder auch zum Löschen essenzieller Systemdateien veranlassen können.


Defender-Signaturupdates kommen meist als einzelne "mpam-fe.exe", die viele Komponenten bündelt. Hier können Angreifer manipulativ ansetzen.
(Bild: SafeBreach Labs)

Nachdem die Sicherheitsforscher Microsoft über den Fund informierten, habe der Konzern umgehend reagiert. Ein
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
(CVSS-Score 6.2 "mittel") ist bereits seit April 2023 verfügbar: Mit zusätzlichen Validierungsmechanismen schiebt er den von SafeBreach Labs dokumentierten Manipulationsmöglichkeiten einen Riegel vor. Über Angriffe auf die Lücke in freier Wildbahn ist derzeit nichts bekannt.

Unterhaltsamer Deep Dive in Signatur-Interna​

Trotz vorhandenem Patch sind die nun veröffentlichten technischen Details zum Signatur-Updateprozess des Defenders eine empfehlenswerte Lektüre. Denn die Forscher sehen in diesem Prozess zu Recht ein Angriffsziel mit hohem Exploit-Potenzial, das es intensiv zu erforschen und besser zu schützen gilt.

Mit der Sicherheitslückensuche als spannender Rahmenhandlung taucht der
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
tief in den Signaturupdate-Vorgang ein. Er zerlegt ein Update in seine Einzelkomponenten, beleuchtet deren jeweilige Funktion und deutet Manipulationsmöglichkeiten an. Das systematische – und bisweilen auch erfolglose "Abklopfen" der Dateien auf potenzielle Schwachpunkte durch die Forscher wird gut nachvollziehbar beschrieben.

Zusätzliche Bilder beziehungsweise eine andere Art der Aufbereitung liefern die
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
.

(des [4])

URL dieses Artikels:
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
 
Zum Vergrößern anklicken....
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

  • Artikel
Hardware & Software Microsoft Defender: Der Erkennung mit Komma entgehen!
Antworten
0
Aufrufe
946
edgonzo
  • Artikel
Hardware & Software Angreifer attackieren Microsoft 365 Apps und Windows - Mehrere kritische Lücken
Antworten
1
Aufrufe
1K
Lecter
  • Artikel
PC & Internet Microsoft DHCP Server erlaubt DNS-Spoofing!
Antworten
0
Aufrufe
1K
edgonzo
  • Artikel
Hardware & Software Nur zwei wurden gepatcht: Schwachstellen in 34 Treibern gefährden Windows-Systeme
Antworten
1
Aufrufe
2K
yoshi2001
Y
  • Artikel
Hardware & Software Patchday: Angreifer infizieren Windows mit Nokoyawa-Ransomware
Antworten
0
Aufrufe
1K
josef.13
Menü
Anmelden
Registrieren
Für die Nutzung dieser Website sind Cookies erforderlich. Du musst diese akzeptieren, um die Website weiter nutzen zu können. Erfahre mehr…