Windows Defender: Kritischer Bug erlaubte Fremd-Übernahme des PCs
Statt den Anwender zu schützen hat der Windows Defender gerade einen aktiven Beitrag geleistet, um Angreifern die Kontrolle über den Rechner des Nutzers zu übertragen. Die fragliche Sicherheitslücke konnte nun aber von Microsoft gestopft werden. Der Patch sollte schon mit den automatischen Updates (Version 1.1.14700.5 und höher) angekommen sein.
Um Computer zu übernehmen, musste man dem System lediglich ein manipuliertes RAR-Archiv vorsetzen. Ab Werk ist im Windows Defender die Option zum automatischen Scannen von Dateien aktiviert und so wird auch das Archiv-File direkt analysiert, wenn es für die Software greifbar wird - was geschehen kann, wenn die Datei in einem Netzlaufwerk liegt oder als Anhang an einer Nachricht eintrudelt.
Der Scan-Vorgang allein genügt, um speziell präparierten Code in dem File zur Ausführung zu bringen. Eine Interaktion des Nutzers ist somit nicht erforderlich. Der Code läuft dann mit LocalSystem-Rechten, wodurch es faktisch keine Einschränkungen mehr gibt und der Rechner als komplett übernommen angesehen werden kann.
Die ganze Sache wurde offenbar längere Zeit nicht entdeckt, weil der Bug im originalen Code nicht zum Tragen kam. Erst in Verbindung mit der Implementierung in den Windows Defender entfaltete er seine Wirkung in möglichen Memory Corruption-Aktionen, die im günstigeren Fall eben nur den Virenscanner abschießen, aber eben auch fremden Code tief ins System durchlassen können.
Der Bug steht damit im Grunde auch exemplarisch für die grundlegenden Probleme, die mit der Verwendung von Antiviren-Software einhergehen und aufgrund derer entsprechende Produkte bei vielen Security-Experten auf Ablehnung stoßen. Denn die Schutzwirkung der Programme ist bei regelmäßig aktualisierten Systemen doch ziemlich überschaubar, während ein Bug nicht nur die Tore für Malware aufreißt, sondern auch gleich den Weg durch alle anderen Security-Layer hindurch ebnet.
Siehe auch: Windows Defender schützt so gut wie teure Antivirus-Tools
Der Scan-Vorgang allein genügt, um speziell präparierten Code in dem File zur Ausführung zu bringen. Eine Interaktion des Nutzers ist somit nicht erforderlich. Der Code läuft dann mit LocalSystem-Rechten, wodurch es faktisch keine Einschränkungen mehr gibt und der Rechner als komplett übernommen angesehen werden kann.
Unglückliche Umstände
Das pikante an der Sache: Microsoft hat den Fehler nicht einmal selbst produziert. Der inzwischen für Google tätige Sicherheitsforscher Halvar Flake, der den Bug im Windows Defender entdeckte, verfolgte den Bug bis in eine ältere Version der Archivierungs-Software Unrar zurück. Microsoft hatte den Code des Open Source-Projektes irgendwann geforked und in seinen Virenscanner eingebaut, damit dieser auch die Inhalte von RAR-Archiven anschauen kann.Die ganze Sache wurde offenbar längere Zeit nicht entdeckt, weil der Bug im originalen Code nicht zum Tragen kam. Erst in Verbindung mit der Implementierung in den Windows Defender entfaltete er seine Wirkung in möglichen Memory Corruption-Aktionen, die im günstigeren Fall eben nur den Virenscanner abschießen, aber eben auch fremden Code tief ins System durchlassen können.
Der Bug steht damit im Grunde auch exemplarisch für die grundlegenden Probleme, die mit der Verwendung von Antiviren-Software einhergehen und aufgrund derer entsprechende Produkte bei vielen Security-Experten auf Ablehnung stoßen. Denn die Schutzwirkung der Programme ist bei regelmäßig aktualisierten Systemen doch ziemlich überschaubar, während ein Bug nicht nur die Tore für Malware aufreißt, sondern auch gleich den Weg durch alle anderen Security-Layer hindurch ebnet.
Siehe auch: Windows Defender schützt so gut wie teure Antivirus-Tools
Thema:
Neue Downloads zum Thema
Videos zum Thema
-
Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
-
Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
-
Geht immer noch: So kann sich Malware per E-Mail einschleichen
-
Windows 10: Manuelle Konfiguration vom Defender ausgebremst
-
LibreOffice: So schnell kann ein Makrovirus ins System durchschlagen
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Antivirus:
Weiterführende Links
Neue Nachrichten
- Samsung baut sich um: Galaxy & Co werden jetzt voll mit KI entwickelt
- Durchbruch bei photonischen Chips: Billige Produktion durch Nanoprint
- Windows 11 26H1: ARM-Version erhält eigenen Beta-Kanal für Insider
- Drohnenboot rettet erstmals die abgestürzte Crew eines AH-64 Apache
- Staatstrojaner-Anbieter greift trotz Verbots wieder WhatsApp-Nutzer an
- MacOS 27 "Golden Gate": Neues Mac-Betriebssystem in den Startlöchern
- Crazy Taxi World Tour: Entwickler reagiert auf Kritik zur KI-Nutzung
Videos
Neueste Downloads
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen