Abo
  • IT-Karriere:

Project Zero: Microsofts Antivirensoftware gefährdet Windows-Nutzer

Googles Project Zero hat eine schwerwiegende Sicherheitslücke in der Anti-Viren-Engine von Microsoft entdeckt. Schuld daran ist die simulierte Ausführung von Javascript-Code ohne Sandbox.

Artikel von Hanno Böck veröffentlicht am
Windows Defender hat eine Sicherheitslücke.
Windows Defender hat eine Sicherheitslücke. (Bild: Screenshot Golem.de)

Microsoft hat eine kritische Sicherheitslücke im Antivirenprogramm von Windows geschlossen. Bereits vor einigen Tagen verursachte Tavis Ormandy mit einem Tweet einigen Wirbel. Zusammen mit Natalie Silvanovich habe er gerade einen schlimmen Remote-Code-Execution-Bug in Windows entdeckt. Jetzt sind die Details bekannt: Der Fehler befindet sich in Microsofts Malware Protection Engine, die seit Windows 8 standardmäßig aktiviert ist. Sie wird von der Windows-eigenen Antivirensoftware Defender genutzt.

Stellenmarkt
  1. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg
  2. hubergroup Deutschland GmbH, Kirchheim bei München

Um Schadsoftware in Javascript-Code zu finden, simuliert dieser Service die Ausführung von Javascript-Code. Und das, wie Ormandy bemerkt, mit hohen Systemprivilegien und ohne jede Sandbox-Funktionalität.

Type Confusion im Javascript-Interpreter ohne Sandbox

Der Fehler selbst ist eine Type Confusion. Die toString()-Funktion eines Fehlerobjekts akzeptiert einen Parameter mit Namen message und geht davon aus, dass es sich dabei um einen String handelt. Allerdings wird dies nicht geprüft. Durch den Bug kann ein Angreifer Kontrolle über das System erlangen und Code ausführen.

Laut dem Google-Bugreport lässt sich der Fehler relativ einfach ausnutzen. Ein Windows-System startet diese Javascript-Engine bei jedem Dateizugriff. So muss ein Angreifer nur irgendwie dafür sorgen, dass die Datei auf das System gelangt, etwa via E-Mail oder über eine Webseite.

Einen Angriff zu erkennen, ist außerdem fast unmöglich: Die Malware Protection Engine enthält laut Silvanovich und Ormandy unzählige Parser für exotische Archivierungsformate, somit hat ein Angreifer viele Möglichkeiten, den Javascript-Code zu verstecken.

Microsoft hat heute ein Update für alle Windows-Versionen ab Windows 7 bereitgestellt. Windows-Anwender sollten dieses umgehend installieren. Microsoft weist noch darauf hin, dass der Einsatz von Control Flow Guard das Risiko eines erfolgreichen Exploits deutlich senkt. Control Flow Guard ist eine Exploit-Mitigation-Technologie und wird in Windows 8.1 und Windows 10 genutzt.

An Antivirenprogrammen gab es in jüngerer Zeit viel Kritik. Doch gerade die Windows-eigene Anti-Viren-Engine galt vielen Sicherheitsexperten als vergleichsweise weniger schlimm. Anders als viele Antivirenhersteller hat Microsoft relativ gute Sicherheitsprozesse und nutzt auch eigene ausgefeilte Tools, um Sicherheitslücken in Windows zu finden.

Moderne Antivirensoftware bietet mehr Angriffsfläche

Angesichts der jetzt entdeckten Lücke dürften jedoch manche an diesem Ratschlag zweifeln. Letztendlich zeigt der Fehler auch das Dilemma der gesamten Antivirenbranche. Früher haben Virenscanner vor allem auf Virensignaturen gesetzt und bestimmte, bekannte Malware erkannt. Doch angesichts der Fülle an neuer Malware ist dieser Ansatz heute immer weniger hilfreich.

Stattdessen versucht moderne Antivirensoftware in der Regel, das Verhalten von Malware zu erkennen oder diese mittels Cloud-basierter Lösungen zu analysieren. Doch diese modernen Verfahren führen dazu, dass Antivirensoftware selbst eine immer größere Angriffsfläche bietet. Aus dem vermeintlichen Malware-Schutz wird damit immer mehr selbst ein Sicherheitsrisiko.



Anzeige
Top-Angebote
  1. (u. a. MSI GeForce RTX 2080 Aero 8G für 549€ statt über 620€ im Vergleich und ASUS Phoenix...
  2. (u. a. Seagate Backup Plus Hub 8 TB für 149€, Toshiba 240-GB-SSD für 29€ und Sandisk Extreme...
  3. (u. a. Kingston A400 480 GB für 41,90€ statt 50,10€ im Vergleich, Fractal Design Define R6 USB...
  4. (heute u. a. mit Serienboxen)

James Jordaan 31. Mai 2017

Hallo, Freunde, ich bin auch mit Microsoft Antivirus-Software ist es wirklich tolle...

Schnarchnase 12. Mai 2017

Sagt der, der Blödsinn wie "Server != Desktop" schreibt. Du kannst genauso gut Server...

SkeeveDCD 10. Mai 2017

Und genau diese Aussagen hinterfrage ich. Microsoft hat sicher viel an der Sicherheit...

Truster 10. Mai 2017

Wenn man KEINE Ahnung hat... /ignore

sedremier 10. Mai 2017

XD Also so weit würde ich jetzt echt nicht gehen.


Folgen Sie uns
       


Sony Xperia 1 - Test

Das Xperia 1 eignet sich dank seines breiten OLED-Displays hervorragend zum Filmeschauen. Im Test zeigt Sonys neues Smartphone aber noch weitere Stärken.

Sony Xperia 1 - Test Video aufrufen
Disintegration angespielt: Fast wie ein Master Chief mit Privatarmee
Disintegration angespielt
Fast wie ein Master Chief mit Privatarmee

Gamescom 2019 Ein dick gepanzerter Held auf dem Schwebegleiter plus bis zu vier Fußsoldaten, denen man Befehle erteilen kann: Das ist die Idee hinter Disintegration. Golem.de hat das Actionspiel ausprobiert.
Von Peter Steinlechner

  1. Omen HP erweitert das Command Center um Spiele-Coaching
  2. Games Spielentwickler bangen weiter um Millionenförderung
  3. Gamescom Opening Night Hubschrauber, Historie plus Tag und Nacht für Anno 1800

Mobile Payment: Mit QR-Code-Kooperation zum europäischen Standard
Mobile Payment
Mit QR-Code-Kooperation zum europäischen Standard

Die Mobile Wallet Collaboration will ein einheitliches QR-Format als technische Grundlage für ein vereinfachtes Handling etablieren. Die Allianz aus sechs europäischen Bezahldiensten und Alipay aus China ist eine ernstzunehmende Konkurrenz für Google, Apple, Facebook, Amazon.
Von Sabine T. Ruh


    Erdbeobachtung: Satelliten im Dienst der erneuerbaren Energien
    Erdbeobachtung
    Satelliten im Dienst der erneuerbaren Energien

    Von oben ist der Blick auf die Erde am besten. Satelliten werden deshalb für die Energiewende eingesetzt: Mit ihnen lassen sich beispielsweise die Standorte für Windkraftwerke oder Solaranlagen bestimmen sowie deren Ertrag prognostizieren.
    Ein Bericht von Jan Oliver Löfken

    1. Rocketlab Kleine Rakete wird wiederverwendbar und trotzdem teurer
    2. Space Data Highway Esa bereitet Laser-Kommunikationsstation für den Start vor
    3. Iridium Certus Satelliten-Breitbandnetz startet mit 350 bis 700 KBit/s

      •  /