Windows Defender: Microsoft behebt heimlich weitere Schwachstelle

Das Redmonder Unternehmen Microsoft hat eine weitere Schwachstelle in dem Antiviren-Programm Windows Defender behoben. Ein offizielles Statement hierzu wurde nicht veröffentlicht. Der entsprechende Hinweis wurde direkt an den Konzern gesendet, sodass die Lücke vermutlich nicht ausgenutzt werden konnte. Die Sicherheitslücke wurde laut Threatpost durch den bei Google im Projekt Zero beschäftigten Sicherheitsforscher Tavis Ormandy entdeckt, welcher den Fehler dem Redmonder Unternehmen mitteilte. Bereits zuvor hatte er Schwachstellen in Software von Microsoft ausfindig gemacht, welche er jedoch zunächst der Öffentlichkeit zur Verfügung stellte. Da dieses Vorgehen auf viel Kritik stieß, hat sich Tavis Ormandy scheinbar nun dafür entschieden, direkt mit Microsoft zu kooperieren.


Die Malware-Schutz-Engine von Microsoft (auch MsMpEng genannt) enthält einen vollständigen x86-Emulator, mit welchem Dateien ausgeführt werden, welche zunächst als nicht vertrauenswürdig eingestuft werden. Eine unterstützte Win32-API hat dem emulierten Code jedoch erlaubt, den Emulator selbst zu kontrollieren. Warum verschiedene API-Aufrufe erlaubt werden, bleibt zum jetzigen Zeitpunkt vollkommen unklar.

MsMpEng läuft in keiner Sandbox

Darüber hinaus kritisiert Udi Yavo, Mitgründer der Sicherheitsfirma enSilo, dass die Software nicht in einer Sandbox-Umgebung ausgeführt wird. Bei einer Sandbox handelt es sich um eine Laufzeitumgebung, welche vom Rest des Betriebssystems abgeschirmt wird, sodass von keiner Bedrohung für den Nutzer des Rechners auszugehen ist. Dies ist bei Windows Defender beziehungsweise der Engine nicht der Fall: Der Prozess MsMpEng.exe kann somit auf alle anderen Programme und Dateien zugreifen. Wird also durch einen Exploit Schadcode ausgeführt, kann der Angreifer das System ohne großen Aufwand vollständig übernehmen.