Defendnot: Tool trickst Windows aus, schaltet Microsoft Defender ab
Ein neues Tool namens Defendnot ermöglicht es, Windows Defender durch die Registrierung eines gefälschten Antivirenprogramms zu deaktivieren. Genutzt wird dabei eine undokumentierte Windows-API, was Fragen zur Sicherheit des Betriebssystems aufwirft.
Der Grund für dieses Verhalten liegt in der grundsätzlichen Windows-Architektur: Das System verhindert den gleichzeitigen Betrieb mehrerer Antivirenprogramme, um Konflikte zu vermeiden. Sobald eine alternative Antivirensoftware erkannt wird, schaltet sich Windows Defender automatisch ab.
Wie Bleeping Computer berichtet, umgeht Defendnot dabei die üblichen Sicherheitsvorkehrungen wie Protected Process Light (PPL) und digitale Signaturen, indem es seinen Code in den vertrauenswürdigen Windows-Task-Manager (Taskmgr.exe) einschleust. Diese Technik, bekannt als "Process Injection", ist ein häufig von Malware genutzter Ansatz, um Sicherheitsmechanismen zu umgehen.
Das Tool nutzt die Tatsache aus, dass Windows seit Vista ein zentrales Security-Center implementiert hat, das den Status aller Sicherheitskomponenten überwacht. Diese Architektur sollte ursprünglich die Sicherheit verbessern, indem sie einen einheitlichen Überblick über alle Schutzmaßnahmen bietet. Ironischerweise wird genau diese Funktion nun ausgenutzt, um den Schutz zu schwächen.
Für zusätzliche Persistenz richtet das Tool einen automatischen Start über den Windows Task Scheduler ein, der bei jedem Login aktiviert wird. Diese Methode ist besonders problematisch, da sie sicherstellt, dass der Schutz auch nach einem Neustart deaktiviert bleibt.
Die Veröffentlichung solcher Schwachstellen folgt einem kontroversen Prinzip der "verantwortungsvollen Offenlegung", bei dem Sicherheitslücken öffentlich gemacht werden, um Druck auf Hersteller auszuüben, diese schnellstmöglich zu beheben.
Was haltet ihr von solchen "Forschungsprojekten"? Überwiegt hier der Nutzen für die IT-Sicherheit oder die potenzielle Gefahr durch Missbrauch? Teilt eure Gedanken in den Kommentaren!
Siehe auch:
Gefährliche Lücke im Windows Security Center
Ein Sicherheitsforscher hat eine beunruhigende Schwachstelle im Windows-Sicherheitssystem aufgedeckt. Das neue Tool "Defendnot" nutzt eine undokumentierte Schnittstelle des Windows Security Centers (WSC), um dem Betriebssystem vorzugaukeln, dass ein alternatives Antivirenprogramm installiert sei. Das führt wiederum dazu, dass Windows Defender sich automatisch deaktiviert.Der Grund für dieses Verhalten liegt in der grundsätzlichen Windows-Architektur: Das System verhindert den gleichzeitigen Betrieb mehrerer Antivirenprogramme, um Konflikte zu vermeiden. Sobald eine alternative Antivirensoftware erkannt wird, schaltet sich Windows Defender automatisch ab.
Wie Bleeping Computer berichtet, umgeht Defendnot dabei die üblichen Sicherheitsvorkehrungen wie Protected Process Light (PPL) und digitale Signaturen, indem es seinen Code in den vertrauenswürdigen Windows-Task-Manager (Taskmgr.exe) einschleust. Diese Technik, bekannt als "Process Injection", ist ein häufig von Malware genutzter Ansatz, um Sicherheitsmechanismen zu umgehen.
Zweiter Anlauf nach Takedown
Bei Defendnot handelt es sich bereits um den zweiten Versuch des Entwicklers mit dem Pseudonym es3n1n. Sein vorheriges Projekt "no-defender" musste nach einer DMCA-Beschwerde zurückgezogen werden, da es Code eines Drittanbieter-Antivirenprogramms verwendete. Die neue Version wurde dagegen komplett neu entwickelt.Das Tool nutzt die Tatsache aus, dass Windows seit Vista ein zentrales Security-Center implementiert hat, das den Status aller Sicherheitskomponenten überwacht. Diese Architektur sollte ursprünglich die Sicherheit verbessern, indem sie einen einheitlichen Überblick über alle Schutzmaßnahmen bietet. Ironischerweise wird genau diese Funktion nun ausgenutzt, um den Schutz zu schwächen.
Für zusätzliche Persistenz richtet das Tool einen automatischen Start über den Windows Task Scheduler ein, der bei jedem Login aktiviert wird. Diese Methode ist besonders problematisch, da sie sicherstellt, dass der Schutz auch nach einem Neustart deaktiviert bleibt.
Microsofts Reaktion
Microsoft hat bereits reagiert und klassifiziert Defendnot als Trojaner. Die aktuelle Version von Windows Defender erkennt die Software automatisch mithilfe von Machine-Learning-Algorithmen und setzt diese unter Quarantäne. Sicherheitsexperten weisen darauf hin, dass solche Tools zwar für Forschungszwecke entwickelt werden, aber leicht von Cyberkriminellen missbraucht werden können.Die Veröffentlichung solcher Schwachstellen folgt einem kontroversen Prinzip der "verantwortungsvollen Offenlegung", bei dem Sicherheitslücken öffentlich gemacht werden, um Druck auf Hersteller auszuüben, diese schnellstmöglich zu beheben.
Was haltet ihr von solchen "Forschungsprojekten"? Überwiegt hier der Nutzen für die IT-Sicherheit oder die potenzielle Gefahr durch Missbrauch? Teilt eure Gedanken in den Kommentaren!
Zusammenfassung
- Tool 'Defendnot' deaktiviert Windows Defender durch gefälschte Antiviren-Registrierung
- Nutzung einer undokumentierten Windows-API-Schnittstelle des Security-Centers
- Einschleusung des Codes in den Windows Taskmanager durch Process Injection
- Microsoft stuft die Software als Trojaner ein und isoliert sie durch Defender
- Persistenz wird durch automatischen Start via Windows Task Scheduler erzielt
- Entwickler musste Vorgängerversion wegen DMCA-Beschwerde zurückziehen
- Veröffentlichung folgt dem Prinzip der verantwortungsvollen Offenlegung von Sicherheitslücken
Siehe auch:
- Windows Defender: Microsoft behebt eine kritische Schwachstelle
- Windows-Sicherheit: Neues Defender-Update jetzt verfügbar
- Windows-Installationen sicherer: Neues Defender-Update verfügbar
- Windows Server: Microsoft bestätigt Defender-Probleme nach Patch-Day
- Diese Wörter lösen einen Malware-Alarm bei Microsoft Defender aus
Thema:
Neue Downloads zum Thema
Videos zum Thema
-
Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
-
Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
-
Geht immer noch: So kann sich Malware per E-Mail einschleichen
-
Windows 10: Manuelle Konfiguration vom Defender ausgebremst
-
LibreOffice: So schnell kann ein Makrovirus ins System durchschlagen
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Antivirus:
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
- Windows 11 26H2: Microsoft kündigt nächste OS-Version offiziell an
- VW ID.3 Neo GTI: Erlkönig des neuen Elektro-GTI wurde gesichtet
- Prime Day: Bei Amazon starten schon jetzt tolle Saugroboter-Deals
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen