Project Zero: Microsofts Antivirensoftware gefährdet Windows-Nutzer

Googles Project Zero hat eine schwerwiegende Sicherheitslücke in der Anti-Viren-Engine von Microsoft entdeckt. Schuld daran ist die simulierte Ausführung von Javascript-Code ohne Sandbox.

Artikel von Hanno Böck veröffentlicht am
Windows Defender hat eine Sicherheitslücke.
Windows Defender hat eine Sicherheitslücke. (Bild: Screenshot Golem.de)

Microsoft hat eine kritische Sicherheitslücke im Antivirenprogramm von Windows geschlossen. Bereits vor einigen Tagen verursachte Tavis Ormandy mit einem Tweet einigen Wirbel. Zusammen mit Natalie Silvanovich habe er gerade einen schlimmen Remote-Code-Execution-Bug in Windows entdeckt. Jetzt sind die Details bekannt: Der Fehler befindet sich in Microsofts Malware Protection Engine, die seit Windows 8 standardmäßig aktiviert ist. Sie wird von der Windows-eigenen Antivirensoftware Defender genutzt.

Stellenmarkt
  1. Sachbearbeiterinnen / Sachbearbeiter IuK-Koordination (w/m/d)
    Der Polizeipräsident in Berlin, Berlin
  2. Senior Consultant IT-Projekte und -Support im Produktions- und Officeumfeld (w/m/d)
    WILO SE, Dortmund
Detailsuche

Um Schadsoftware in Javascript-Code zu finden, simuliert dieser Service die Ausführung von Javascript-Code. Und das, wie Ormandy bemerkt, mit hohen Systemprivilegien und ohne jede Sandbox-Funktionalität.

Type Confusion im Javascript-Interpreter ohne Sandbox

Der Fehler selbst ist eine Type Confusion. Die toString()-Funktion eines Fehlerobjekts akzeptiert einen Parameter mit Namen message und geht davon aus, dass es sich dabei um einen String handelt. Allerdings wird dies nicht geprüft. Durch den Bug kann ein Angreifer Kontrolle über das System erlangen und Code ausführen.

Laut dem Google-Bugreport lässt sich der Fehler relativ einfach ausnutzen. Ein Windows-System startet diese Javascript-Engine bei jedem Dateizugriff. So muss ein Angreifer nur irgendwie dafür sorgen, dass die Datei auf das System gelangt, etwa via E-Mail oder über eine Webseite.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Einen Angriff zu erkennen, ist außerdem fast unmöglich: Die Malware Protection Engine enthält laut Silvanovich und Ormandy unzählige Parser für exotische Archivierungsformate, somit hat ein Angreifer viele Möglichkeiten, den Javascript-Code zu verstecken.

Microsoft hat heute ein Update für alle Windows-Versionen ab Windows 7 bereitgestellt. Windows-Anwender sollten dieses umgehend installieren. Microsoft weist noch darauf hin, dass der Einsatz von Control Flow Guard das Risiko eines erfolgreichen Exploits deutlich senkt. Control Flow Guard ist eine Exploit-Mitigation-Technologie und wird in Windows 8.1 und Windows 10 genutzt.

An Antivirenprogrammen gab es in jüngerer Zeit viel Kritik. Doch gerade die Windows-eigene Anti-Viren-Engine galt vielen Sicherheitsexperten als vergleichsweise weniger schlimm. Anders als viele Antivirenhersteller hat Microsoft relativ gute Sicherheitsprozesse und nutzt auch eigene ausgefeilte Tools, um Sicherheitslücken in Windows zu finden.

Moderne Antivirensoftware bietet mehr Angriffsfläche

Angesichts der jetzt entdeckten Lücke dürften jedoch manche an diesem Ratschlag zweifeln. Letztendlich zeigt der Fehler auch das Dilemma der gesamten Antivirenbranche. Früher haben Virenscanner vor allem auf Virensignaturen gesetzt und bestimmte, bekannte Malware erkannt. Doch angesichts der Fülle an neuer Malware ist dieser Ansatz heute immer weniger hilfreich.

Stattdessen versucht moderne Antivirensoftware in der Regel, das Verhalten von Malware zu erkennen oder diese mittels Cloud-basierter Lösungen zu analysieren. Doch diese modernen Verfahren führen dazu, dass Antivirensoftware selbst eine immer größere Angriffsfläche bietet. Aus dem vermeintlichen Malware-Schutz wird damit immer mehr selbst ein Sicherheitsrisiko.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Neues Betriebssystem von Microsoft
Wir probieren Windows 11 aus

Windows 11 ist bereits im Umlauf. Wir haben die Vorabversion ausprobiert und ein schickes OS durchstöbert. Im Kern ist es aber Windows 10.
Ein Hands-on von Oliver Nickel

Neues Betriebssystem von Microsoft: Wir probieren Windows 11 aus
Artikel
  1. Niedrige Inzidenzen: Homeoffice-Pflicht soll am 30. Juni enden
    Niedrige Inzidenzen
    Homeoffice-Pflicht soll am 30. Juni enden

    Die allgemeine Pflicht zum Homeoffice soll Ende des Monats fallen. Coronatests sollen aber weiterhin in Betrieben angeboten werden.

  2. Nach Juni 2022: Europäische Union will freies Roaming verlängern
    Nach Juni 2022
    Europäische Union will freies Roaming verlängern

    Die Regelung vom Juni 2017 soll verlängert und verbessert werden. Ein Ende von 'Roam like at home' wäre undenkbar.

  3. Websicherheit: Wie KenFM von Anonymous gehackt wurde
    Websicherheit
    Wie KenFM von Anonymous gehackt wurde

    Die Webseite AnonLeaks berichtet, wie das Defacement von KenFM ablief: durch abrufbare Backupdaten und das Wordpress-Plugin Duplicator Pro.
    Von Hanno Böck

James Jordaan 31. Mai 2017

Hallo, Freunde, ich bin auch mit Microsoft Antivirus-Software ist es wirklich tolle...

Schnarchnase 12. Mai 2017

Sagt der, der Blödsinn wie "Server != Desktop" schreibt. Du kannst genauso gut Server...

SkeeveDCD 10. Mai 2017

Und genau diese Aussagen hinterfrage ich. Microsoft hat sicher viel an der Sicherheit...

Truster 10. Mai 2017

Wenn man KEINE Ahnung hat... /ignore

sedremier 10. Mai 2017

XD Also so weit würde ich jetzt echt nicht gehen.


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI 27" FHD 144Hz 269€ • Razer Naga Pro Gaming-Maus 119,99€ • Apple iPad Pro 12,9" 256GB 909€ [Werbung]
    •  /