Windows Defender: Kritischer Bug erlaubte Fremd-Übernahme des PCs
Statt den Anwender zu schützen hat der Windows Defender gerade einen aktiven Beitrag geleistet, um Angreifern die Kontrolle über den Rechner des Nutzers zu übertragen. Die fragliche Sicherheitslücke konnte nun aber von Microsoft gestopft werden. Der Patch sollte schon mit den automatischen Updates (Version 1.1.14700.5 und höher) angekommen sein.
Um Computer zu übernehmen, musste man dem System lediglich ein manipuliertes RAR-Archiv vorsetzen. Ab Werk ist im Windows Defender die Option zum automatischen Scannen von Dateien aktiviert und so wird auch das Archiv-File direkt analysiert, wenn es für die Software greifbar wird - was geschehen kann, wenn die Datei in einem Netzlaufwerk liegt oder als Anhang an einer Nachricht eintrudelt.
Der Scan-Vorgang allein genügt, um speziell präparierten Code in dem File zur Ausführung zu bringen. Eine Interaktion des Nutzers ist somit nicht erforderlich. Der Code läuft dann mit LocalSystem-Rechten, wodurch es faktisch keine Einschränkungen mehr gibt und der Rechner als komplett übernommen angesehen werden kann.
Die ganze Sache wurde offenbar längere Zeit nicht entdeckt, weil der Bug im originalen Code nicht zum Tragen kam. Erst in Verbindung mit der Implementierung in den Windows Defender entfaltete er seine Wirkung in möglichen Memory Corruption-Aktionen, die im günstigeren Fall eben nur den Virenscanner abschießen, aber eben auch fremden Code tief ins System durchlassen können.
Der Bug steht damit im Grunde auch exemplarisch für die grundlegenden Probleme, die mit der Verwendung von Antiviren-Software einhergehen und aufgrund derer entsprechende Produkte bei vielen Security-Experten auf Ablehnung stoßen. Denn die Schutzwirkung der Programme ist bei regelmäßig aktualisierten Systemen doch ziemlich überschaubar, während ein Bug nicht nur die Tore für Malware aufreißt, sondern auch gleich den Weg durch alle anderen Security-Layer hindurch ebnet.
Siehe auch: Windows Defender schützt so gut wie teure Antivirus-Tools
Der Scan-Vorgang allein genügt, um speziell präparierten Code in dem File zur Ausführung zu bringen. Eine Interaktion des Nutzers ist somit nicht erforderlich. Der Code läuft dann mit LocalSystem-Rechten, wodurch es faktisch keine Einschränkungen mehr gibt und der Rechner als komplett übernommen angesehen werden kann.
Unglückliche Umstände
Das pikante an der Sache: Microsoft hat den Fehler nicht einmal selbst produziert. Der inzwischen für Google tätige Sicherheitsforscher Halvar Flake, der den Bug im Windows Defender entdeckte, verfolgte den Bug bis in eine ältere Version der Archivierungs-Software Unrar zurück. Microsoft hatte den Code des Open Source-Projektes irgendwann geforked und in seinen Virenscanner eingebaut, damit dieser auch die Inhalte von RAR-Archiven anschauen kann.Die ganze Sache wurde offenbar längere Zeit nicht entdeckt, weil der Bug im originalen Code nicht zum Tragen kam. Erst in Verbindung mit der Implementierung in den Windows Defender entfaltete er seine Wirkung in möglichen Memory Corruption-Aktionen, die im günstigeren Fall eben nur den Virenscanner abschießen, aber eben auch fremden Code tief ins System durchlassen können.
Der Bug steht damit im Grunde auch exemplarisch für die grundlegenden Probleme, die mit der Verwendung von Antiviren-Software einhergehen und aufgrund derer entsprechende Produkte bei vielen Security-Experten auf Ablehnung stoßen. Denn die Schutzwirkung der Programme ist bei regelmäßig aktualisierten Systemen doch ziemlich überschaubar, während ein Bug nicht nur die Tore für Malware aufreißt, sondern auch gleich den Weg durch alle anderen Security-Layer hindurch ebnet.
Siehe auch: Windows Defender schützt so gut wie teure Antivirus-Tools
Thema:
Neue Downloads zum Thema
Videos zum Thema
- Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
- Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
- Geht immer noch: So kann sich Malware per E-Mail einschleichen
- Windows 10: Manuelle Konfiguration vom Defender ausgebremst
- LibreOffice: So schnell kann ein Makrovirus ins System durchschlagen
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Antivirus:
Weiterführende Links
Neue Nachrichten
- Android-Update: Google verteilt praktische neue Backup-Features
- In aller Stille: Programmier-KI lädt Angreifer auf den PC des Opfers ein
- Notebooksbilliger: Angebote der Woche stark reduziert
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Galaxy Ring 2: Samsung bestätigt Entwicklung und verrät erste Details
- James-Webb-Teleskop entdeckt: Dunkle Materie bricht die Regeln
- Surface jetzt nur noch in teuer, Microsoft gibt günstige Modelle auf
Videos
Beliebte Downloads
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen