WerFaultSecure: Windows-Virenschutz mit Bordmitteln lahmgelegt
Statt klassische Schwachstellen auszunutzen, missbrauchen Angreifer das Windows-Tool WerFaultSecure.exe, um Sicherheitssoftware vorübergehend lahmzulegen und sensible Anmeldeinformationen aus dem Arbeitsspeicher zu ziehen.
EDR- und Antimalware-Prozesse können dabei für Sekundenbruchteile bis mehrere Sekunden angehalten werden, was Angreifern ein Zeitfenster verschafft, in dem sie ungestört weitere Aktionen durchführen könnten. EDR-Freeze ist öffentlich auf GitHub verfügbar.
Parallel dazu beschreiben Sicherheitsforscher eine zweite, besonders heikle Nutzung: das Dumpen des Local Security Authority Subsystem Service (LSASS).
Dazu kopieren Angreifer offenbar eine alte, aus Windows 8.1 stammende WerFaultSecure.exe auf ein Windows-11-System und starten diese mit speziellen Parametern. Die manipulierte Routine schreibt einen unverschlüsselten Dump des LSASS-Speichers auf die Festplatte - eine Datei, die sich anschließend in ein normales Minidump-Format zurückverwandeln und mit Tools wie Mimikatz nach Anmeldeinformationen durchsuchen lässt. 
 Wichtig ist: Die gezeigten Werkzeuge sind zurzeit Proof-of-Concepts. Das heißt, die Technik ist demonstriert, aber nicht zwangsläufig bereits breit in der Wildnis eingesetzt. Gleichwohl zeigen mehrere unabhängige Tests, dass die Methode funktioniert und dass es Angreifern mit bereits vorhandenem Zugriff auf ein System erleichtern könnte, ihre Spuren zu verwischen oder erhöhte Rechte zu erlangen.
Für Endverbraucher bleibt die wichtigste Empfehlung dieselbe, die schon lange gilt: System- und Antivirenupdates einspielen, keine ungeprüften Dateien mit Administratorrechten ausführen und erhöhte Aufmerksamkeit bei ungewöhnlichen Crash-Dumps oder WerFault-Ereignissen walten lassen.
Download Bitdefender Antivirus Plus: Testversion für Windows
Siehe auch:
EDR- und Antimalware-Prozesse werden angehalten
Das berichtet Günter Born in seinem Blog und verweist dabei auf verschiedene Proof-of-Concepts. Sicherheitsforscher von Zero Solarium entdeckten eine Methode, mit der sich die Windows-Datei WerFaultSecure.exe missbrauchen lässt, um Sicherheitssoftware zu stören. Der Angriff läuft in zwei Varianten ab. Erste Methode: Ein Werkzeug namens EDR-Freeze nutzt die Eigenheiten von WerFaultSecure.exe aus, um Prozesse von EDR-Agenten und Antivirenprogrammen zeitweise "einzufrieren".EDR- und Antimalware-Prozesse können dabei für Sekundenbruchteile bis mehrere Sekunden angehalten werden, was Angreifern ein Zeitfenster verschafft, in dem sie ungestört weitere Aktionen durchführen könnten. EDR-Freeze ist öffentlich auf GitHub verfügbar.
Parallel dazu beschreiben Sicherheitsforscher eine zweite, besonders heikle Nutzung: das Dumpen des Local Security Authority Subsystem Service (LSASS).
Dazu kopieren Angreifer offenbar eine alte, aus Windows 8.1 stammende WerFaultSecure.exe auf ein Windows-11-System und starten diese mit speziellen Parametern. Die manipulierte Routine schreibt einen unverschlüsselten Dump des LSASS-Speichers auf die Festplatte - eine Datei, die sich anschließend in ein normales Minidump-Format zurückverwandeln und mit Tools wie Mimikatz nach Anmeldeinformationen durchsuchen lässt. 
Windows-Bordmittel genügen
Das Besondere an beiden Ansätzen ist, dass sie auf Funktionen von Windows-Bordmitteln setzen. In den Tests der Forscher reichte es, die Windows-8.1-Version von WerFaultSecure.exe im Dateisystem abzulegen und mit speziellen Flags auszuführen; die Signatur der alten Microsoft-Datei hilft dabei, die Ausführung überhaupt erst zu ermöglichen. Infografik: Wo politische Cyberattacken ihren Ursprung haben
Defender erkennt solche Aufrufe
Microsoft reagierte laut Günter Born bereits und erläuterte, dass Kunden, die Microsoft Defender einsetzen, nicht betroffen seien, weil Defender entsprechende Aufrufe erkennt und blockiert. Zudem entstehen bereits Erkennungsregeln und KQL-Abfragen (zum Beispiel DefenderXDR-Regeln), die ungewöhnliche WerFaultSecure-Aufrufe oder das Starten von WerFaultSecure außerhalb der System-Ordner als Indiz für Missbrauch melden. Wichtig ist: Die gezeigten Werkzeuge sind zurzeit Proof-of-Concepts. Das heißt, die Technik ist demonstriert, aber nicht zwangsläufig bereits breit in der Wildnis eingesetzt. Gleichwohl zeigen mehrere unabhängige Tests, dass die Methode funktioniert und dass es Angreifern mit bereits vorhandenem Zugriff auf ein System erleichtern könnte, ihre Spuren zu verwischen oder erhöhte Rechte zu erlangen.
Für Endverbraucher bleibt die wichtigste Empfehlung dieselbe, die schon lange gilt: System- und Antivirenupdates einspielen, keine ungeprüften Dateien mit Administratorrechten ausführen und erhöhte Aufmerksamkeit bei ungewöhnlichen Crash-Dumps oder WerFault-Ereignissen walten lassen.
Download Bitdefender Antivirus Plus: Testversion für Windows
Zusammenfassung
- WerFaultSecure.exe wird für Angriffe auf Sicherheitssoftware missbraucht
- EDR-Freeze stoppt Sicherheitsprozesse für kurze Angriffszeitfenster
- Alte WerFaultSecure.exe ermöglicht gefährliches LSASS-Speicher-Dumping
- Angriffe nutzen signierte Windows-Bordmittel für höhere Erfolgsraten
- Microsoft Defender erkennt und blockiert diese Angriffsmuster
- Bisher nur Proof-of-Concepts ohne breite Verbreitung in freier Wildbahn
- Updates und Vorsicht bei Admin-Rechten bleiben wichtigste Schutzmaßnahmen
Siehe auch:
Thema:
Neue Downloads zum Thema
Videos zum Thema
-
Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
-
Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
-
Geht immer noch: So kann sich Malware per E-Mail einschleichen
-
Windows 10: Manuelle Konfiguration vom Defender ausgebremst
-
LibreOffice: So schnell kann ein Makrovirus ins System durchschlagen
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Antivirus:
Weiterführende Links
Neue Nachrichten
- Windows 11 bekommt einen Button zum Entfernen aller KI-Modelle
- Meta macht (ein bisschen) Rückzieher bei Mitarbeiter-Totalüberwachung
- Update für Google Home: Gemini-KI startet nun auch in Deutschland
- Vernichtende Kritik: MMO-Hoffnung Camelot Unchained ein totaler Flop
- Komplett zerstörte Startrampe: Blue Origin hat aggressiven Aufbauplan
- Microsoft Surface Pro 13-Zoll: Das ist das Tablet mit Snapdragon X2 Elite
- Google will Android-Entwickler für Zugang zum App-Code bezahlen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen