Windows Defender lässt sich per "Illusion Gap" austricksen

Die Art, wie der Windows Defender eingehende Dateien auf integrierte Schadcodes überprüft, offenbart sich jetzt als Problem. Sicher­heits­for­schern ist es gelungen, dem Security-Tool saubere Dateien vorzugaukeln und Malware daran vorbeizuschleusen. mehr... Windows 10, Sicherheit, Antivirus, Windows Defender, Enterprise, Defender, Windows 10 Enterprise, Windows Defender Advanced Threat Protection, Windows Antivirus Bildquelle: Microsoft Windows 10, Sicherheit, Antivirus, Windows Defender, Enterprise, Defender, Windows 10 Enterprise, Windows Defender Advanced Threat Protection, Windows Antivirus Windows 10, Sicherheit, Antivirus, Windows Defender, Enterprise, Defender, Windows 10 Enterprise, Windows Defender Advanced Threat Protection, Windows Antivirus Microsoft

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
"Eine temporäre Kopie holt sich der Windows Defender und prüft sie auf Gefahren. Parallel wandert eine zweite Kopie über das Netzwerk, die dann auf dem Zielsystem ausgeführt wird."

Wird die Datei wirklich 2x übertragen?! Wenn ich also eine 1GB große setup.exe von einem Netzlaufwerk ausführe, werden im Hintergund 2GB an Daten übertragen?
 
@MrKlein: wie soll es sonst funktionieren? Das System kann schlecht Gigabytes an Daten cachen.
 
@der_ingo: Einmal holen, prüfen, ausführen. Das verlegt die Last vom Netzwerk auf den Client. Ist jetzt die Frage, wo eher der Flaschenhals zu suchen ist re: Performance... schätze, das kippt mit steigender Dateigröße irgendwann um.

So oder so muß auf die Prüfung gewartet werden. Schneller geht es daher nur, wenn - um das mal so zu formulieren -- die Kopie für den Defender priorisiert behandelt wird, damit das Ergebnis möglichst zu dem Zeitpunkt vorliegt, da die Übertragung der anderen Kopie fertig ist.

Könnt man natürlich immer noch anders machen, zB direkt am Port scannen, wo der Datenstrom reinkommt. Dann geht sozusagen das Datum vom Kabel durch den Scanner in die jeweilige Anwendung.
 
@RalphS: dass SMB zumindest signiert, je nach Einstellung auch verschlüsselt ist, weißt du aber, oder?
 
@MrKlein: *Hintergrund
 
"vielmehr sei es eine Feature-Frage, ob Nutzer überhaupt Inhalte direkt von einem nicht vertrauenswürdigen SMB-Share ausführen"

Das ist der Punkt, welcher Privatanwender greift schon auf SMB Freigaben über das Internet zu.
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 00:05 Uhr Huion Grafiktablett mit DisplayHuion Grafiktablett mit Display
Original Amazon-Preis
242,00
Im Preisvergleich ab
400,99
Blitzangebot-Preis
205,70
Ersparnis zu Amazon 15% oder 36,30