Windows 10: Malware-Scans lassen sich durch Nullen-Fehler aushebeln

Microsoft hat vor kurzem einen folgenschweren Bug in dem Anti-Malware Scan Interface, welches mit Windows 10 eingeführt wurde, behoben. Die Malware-Protection konnte einfach durch das Einfügen eines Null-Zeichens ausgetrickst werden.
Microsoft, Betriebssystem, Windows 10, Creators Update, Windows 10 Creators Update, Windows 10 Version 1703, Version 1703
Wie jetzt das Online-Magazin Bleeping Computer mit Verweis auf den kanadischen Sicher­heits­forscher Satoshi Tanda berichtet, konnte Microsoft mit den Windows-10-Updates vom jüngsten Patchday einen schwerwiegenden Fehler in der Anti-Malware Scan-Schnittstelle beheben. Tanda hatte entdeckt, dass sich der Scanner einfach austricksen ließ. So konnte Tanda bösartige PowerShell-Befehle einfach ausführen, indem er bei dem Schadcode selbst einfach Nullzeichen mit angefügt hat. Die Null-Zeichen behinderten das Scannen des Schad­codes, so dass der manipulierte Code keinen Alarm auslöste. Nullen-Fehler in Windows 10 Malware-BugSatoshi Tanda zeigt mit einem kleinen Code-Beispiel, wie der Fehler im AMSI Schadecode Tür und Tor öffnete, da Betrüger einfach den Sicherheits-Scan umgehen konnten Das heißt, dass AMSI eine Datei nur bis zum Nullzeichen scannt und dann den Rest der Daten einfach auslässt, wenn man nicht das entsprechende Sicherheitsupdate einspielt. Ein Angreifer muss nur seine Befehle hinter einem Nullzeichen "verstecken", um AMSI-Prüfungen zu umgehen. Es ist nicht bekannt, in welchem Ausmaß diese Umgehung der Sicherheit bereits ausgenutzt wird, beziehungsweise wurde.

Betrügern Tür und Tor geöffnet

Die Schwachstelle im Anti-Malware Scan Interface (kurz AMSI) öffnete damit Betrügern Tür und Tor, um auf die PCs ihrer Opfer zu gelangen. Zahlreiche Anti-Viren-Programme waren damit im Grunde nutzlos, nicht nur der Windows Defender selbst.

Schnell aktualisieren

Das Interface gehört zu den Windows-10-Sicherheitsmerkmalen und fungiert als Vermittler zwischen den einzelnen An­wen­dungen und den lokalen Antiviren-Engines.

Der Bypass der Windows-10-Sicherheitsfunktion ist nun mit den Updates vom Februar Patchday geschlossen - die entsprechenden Aktualisierungen sollten also zeitnah durchgeführt werden.

Patchday: Windows 10-Sicherheits-Updates am Start
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:10 Uhr Ersatzakku für Makita 18V AkkuErsatzakku für Makita 18V Akku
Original Amazon-Preis
53,99
Im Preisvergleich ab
?
Blitzangebot-Preis
41,64
Ersparnis zu Amazon 23% oder 12,35
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!