Abo
  • Services:

Project Zero: Microsofts Antivirensoftware gefährdet Windows-Nutzer

Googles Project Zero hat eine schwerwiegende Sicherheitslücke in der Anti-Viren-Engine von Microsoft entdeckt. Schuld daran ist die simulierte Ausführung von Javascript-Code ohne Sandbox.

Artikel von Hanno Böck veröffentlicht am
Windows Defender hat eine Sicherheitslücke.
Windows Defender hat eine Sicherheitslücke. (Bild: Screenshot Golem.de)

Microsoft hat eine kritische Sicherheitslücke im Antivirenprogramm von Windows geschlossen. Bereits vor einigen Tagen verursachte Tavis Ormandy mit einem Tweet einigen Wirbel. Zusammen mit Natalie Silvanovich habe er gerade einen schlimmen Remote-Code-Execution-Bug in Windows entdeckt. Jetzt sind die Details bekannt: Der Fehler befindet sich in Microsofts Malware Protection Engine, die seit Windows 8 standardmäßig aktiviert ist. Sie wird von der Windows-eigenen Antivirensoftware Defender genutzt.

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Um Schadsoftware in Javascript-Code zu finden, simuliert dieser Service die Ausführung von Javascript-Code. Und das, wie Ormandy bemerkt, mit hohen Systemprivilegien und ohne jede Sandbox-Funktionalität.

Type Confusion im Javascript-Interpreter ohne Sandbox

Der Fehler selbst ist eine Type Confusion. Die toString()-Funktion eines Fehlerobjekts akzeptiert einen Parameter mit Namen message und geht davon aus, dass es sich dabei um einen String handelt. Allerdings wird dies nicht geprüft. Durch den Bug kann ein Angreifer Kontrolle über das System erlangen und Code ausführen.

Laut dem Google-Bugreport lässt sich der Fehler relativ einfach ausnutzen. Ein Windows-System startet diese Javascript-Engine bei jedem Dateizugriff. So muss ein Angreifer nur irgendwie dafür sorgen, dass die Datei auf das System gelangt, etwa via E-Mail oder über eine Webseite.

Einen Angriff zu erkennen, ist außerdem fast unmöglich: Die Malware Protection Engine enthält laut Silvanovich und Ormandy unzählige Parser für exotische Archivierungsformate, somit hat ein Angreifer viele Möglichkeiten, den Javascript-Code zu verstecken.

Microsoft hat heute ein Update für alle Windows-Versionen ab Windows 7 bereitgestellt. Windows-Anwender sollten dieses umgehend installieren. Microsoft weist noch darauf hin, dass der Einsatz von Control Flow Guard das Risiko eines erfolgreichen Exploits deutlich senkt. Control Flow Guard ist eine Exploit-Mitigation-Technologie und wird in Windows 8.1 und Windows 10 genutzt.

An Antivirenprogrammen gab es in jüngerer Zeit viel Kritik. Doch gerade die Windows-eigene Anti-Viren-Engine galt vielen Sicherheitsexperten als vergleichsweise weniger schlimm. Anders als viele Antivirenhersteller hat Microsoft relativ gute Sicherheitsprozesse und nutzt auch eigene ausgefeilte Tools, um Sicherheitslücken in Windows zu finden.

Moderne Antivirensoftware bietet mehr Angriffsfläche

Angesichts der jetzt entdeckten Lücke dürften jedoch manche an diesem Ratschlag zweifeln. Letztendlich zeigt der Fehler auch das Dilemma der gesamten Antivirenbranche. Früher haben Virenscanner vor allem auf Virensignaturen gesetzt und bestimmte, bekannte Malware erkannt. Doch angesichts der Fülle an neuer Malware ist dieser Ansatz heute immer weniger hilfreich.

Stattdessen versucht moderne Antivirensoftware in der Regel, das Verhalten von Malware zu erkennen oder diese mittels Cloud-basierter Lösungen zu analysieren. Doch diese modernen Verfahren führen dazu, dass Antivirensoftware selbst eine immer größere Angriffsfläche bietet. Aus dem vermeintlichen Malware-Schutz wird damit immer mehr selbst ein Sicherheitsrisiko.



Anzeige
Blu-ray-Angebote
  1. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

James Jordaan 31. Mai 2017

Hallo, Freunde, ich bin auch mit Microsoft Antivirus-Software ist es wirklich tolle...

Schnarchnase 12. Mai 2017

Sagt der, der Blödsinn wie "Server != Desktop" schreibt. Du kannst genauso gut Server...

SkeeveDCD 10. Mai 2017

Und genau diese Aussagen hinterfrage ich. Microsoft hat sicher viel an der Sicherheit...

Truster 10. Mai 2017

Wenn man KEINE Ahnung hat... /ignore

sedremier 10. Mai 2017

XD Also so weit würde ich jetzt echt nicht gehen.


Folgen Sie uns
       


Hitman 2 - Fazit

Wer ist Agent 47 - und warum ist er so ein perfekter Auftragskiller? Einer Antwort kommen Spieler auch in Hitman 2 unter Umständen nicht näher, dafür erleben sie mit dem Glatzkopf aber spannend und komplexe Abenteuer in schön gestalteten, sehr aufwendigen Einsätzen.

Hitman 2 - Fazit Video aufrufen
IT: Frauen, die programmieren und Bier trinken
IT
Frauen, die programmieren und Bier trinken

Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
Von Maja Hoock

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"
  3. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp

Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

Need for Speed 3 Hot Pursuit (1998): El Nino, Polizeifunk und Lichtgewitter in Rot-Blau
Need for Speed 3 Hot Pursuit (1998)
El Nino, Polizeifunk und Lichtgewitter in Rot-Blau

Golem retro_ Electronic Arts ist berühmt und berüchtigt für jährliche Updates und Neuveröffentlichungen. Was der Publisher aber 1998 für digitale Raser auffuhr, ist in puncto Dramatik bei Verfolgungsjagden bis heute unerreicht.
Von Michael Wieczorek


      •  /