Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Microsoft Defender: Der Erkennung mit Komma entgehen!

Du musst Regestriert sein, um das angehängte Bild zusehen.


Ein IT-Forscher hat entdeckt, dass sich die Erkennung des Microsoft Defenders mit einem Komma austricksen lässt.

Im Microsoft Defender steckt eine Schutzkomponente, die Ausführung von Schadcode mithilfe von rundll32.exe erkennen und unterbinden soll.
Dieser Mechanismus lässt sich derzeit leicht austricksen, hat ein IT-Forscher in der vergangenen Woche mitgeteilt.

In einer Sicherheitsmitteilung erläutert John Page, dass er bereits 2022 gezeigt hatte, dass sich der Schutz vor Ausführung von Malware durch Start mit rundll32.exe umgehen ließ.
Er zeigt, wie sich Malware von externer Quelle einschleusen lässt, indem bei der Referenzierung von mshtml beim Aufruf von rundll32.exe eine sogenannte Path Traversal missbraucht wird, im konkreten Fall ein zusätzliches "..\".

Microsoft Defender: Alte Umgehung mit neuem Trick.​

Im Beispiel wurde aus rundll32.exe javascript:"\..\..\mshtml,RunHTMLApplication ";alert(1), was mit einer Fehlermeldung und Warnung durch Windows Defender quittiert wird, einfach rundll32.exe javascript:"\..\..\..\mshtml,RunHTMLApplication ";alert(666), was an der administrativen Kommandozeile ausgeführt wurde.
Anstatt einer Anzeige eines alert lässt sich mit der Javascript-Anweisung GetObject Schadcode von externer Quelle herunterladen.

Das hat Microsoft offenbar inzwischen unterbunden, auch die Variante mit der Pfad Erweiterung wirft eine Fehlermeldung aus.
Ergänzt ein bösartiger Akteur aber hinter der mshtml-Referenz ein zusätzliches Komma, lässt sich der Microsoft-Defender Schutz erneut austricksen, der untergeschobene Code gelangt zur Ausführung: rundll32.exe javascript:"\..\..\mshtml,,RunHTMLApplication ";alert(666) zeigt den Alarmdialog mit der Zeichenfolge "666" an.

Die Sicherheitslücke wurde vom CERT-Bund des BSI als mittelschwer eingestuft, mit einer vorläufigen CVSS-Bewertung von 5.3. Dennoch ermöglicht solch eine Lücke Angreifern, sich etwa im System einzunisten oder weiter auszubreiten.
Die Antwort auf eine Anfrage, ob Microsoft bereits Kenntnis von der Schwachstelle hat, an einer Fehlerkorrektur arbeitet und wann die zu erwarten ist, steht derzeit noch aus.

Microsoft rüstet die Defender-Anti-Malware mit immer weiteren Schutzmechanismen aus.
Ende vergangenen Jahres kam etwa die Unterstützung durch Künstliche Intelligenz hinzu, die menschengesteuerte Angriffe wie Ransomware-Attacken automatisch erkennen und blockieren können soll.


Quelle: heise online
 
Zurück
Oben