
Die Sicherheitsforscher von SentinelLabs, der Forschungsabteilung von SentinelOne, haben im November 2020 eine schwerwiegende Schwachstelle bei der Software Windows Defender entdeckt, deren Befund nun veröffentlicht wurde. Die Sicherheitslücke erlaubt eine Ausweitung der Berechtigungen als Nicht-Administrator, wodurch beispielsweise Schadprogramme von Angreifern eingeschleust werden können. Windows Defender ist tief in das Windows-Betriebssystem integriert und ist standardmäßig auf jedem Windows-Rechner (mehr als 1 Milliarde Geräte) installiert, was diese Schwachstelle besonders gefährlich macht.
Auf Berechtigungen basierte Dienste in Windows oder in Windows-Komponenten können Fehler enthalten, die eine missbräuchliche Ausweitung von Zugriffsrechten ermöglichen. Angreifer nutzen solche Schwachstellen oft aus, um ausgefeilte Angriffe durchzuführen. Sicherheitslösungen sorgen in der Regel für Geräte- und Netzwerksicherheit, indem sie solche Angriffe verhindern, doch in diesem Fall war es eine eben solche Software, in der eine Sicherheitslücke entdeckt wurde.
Schwerwiegende Sicherheitslücke in Treiber von Antivirussoftware
Verantwortlich für die Schwachstelle ist ein interner Treiber mit dem Namen BTR.sys. Er ist Teil des Wiederherstellungsprozesses innerhalb von Windows Defender und zuständig für das Löschen von Dateisystem- und Registry-Ressourcen, die von bösartiger Software im Kernel-Modus erstellt wurden. Wenn er geladen wird, erstellt der Treiber zunächst einen Handle auf eine Datei, die das Protokoll seiner Operationen enthält, wenn er aktiviert wird. Das Problem liegt in der Art und Weise, wie der Treiber das Handle zu dieser speziellen Datei erstellt, was Angreifern erlauben könnte, beliebige Dateien zu überschreiben.
Die Sicherheitsforscher haben Versionen des Treibers gefunden, die den Fehler enthalten und von Microsoft bereits 2009 signiert wurden. Der Fehler könnte möglicherweise auch schon vor 2009 existiert haben, doch das bei der Untersuchung verwendete Tool VirusTotal erlaubt nur die Suche nach Dateien, die innerhalb eines begrenzten Zeitraums hochgeladen wurden.
Microsoft hat die Sicherheitslücke in Windows Defender gepatcht und am 9. Februar 2021 einen Fix veröffentlicht. Vor dem Patch blieb die Schwachstelle allerdings 12 Jahre lang unentdeckt, vermutlich aufgrund der Art und Weise, wie dieser spezielle Mechanismus aktiviert wird. SentinelOne sind keine Hinweise bekannt, dass diese Schwachstelle zum jetzigen Zeitpunkt bereits ausgenutzt wurde. Kunden von SentinelOne sind vor dieser Sicherheitslücke geschützt, da dieser Treiber bei der Installation des SentinelOne-Agenten nicht geladen wird.
Weitere Informationen und technische Details zu der Sicherheitslücke finden Sie auf der Webseite von SentinelLabs: https://labs.sentinelone.com/cve-2021-24092-12-years-in-hiding-a-privilege-escalation-vulnerability-in-windows-defender/
Fachartikel

Supply-Chain-Angriff auf npm-Paket „rand-user-agent“: Malware entdeckt

LockBit gehackt: Der Fall des einst mächtigsten Ransomware-Syndikats

Google-Forscher entdecken Sicherheitslücken bei macOS-Sandboxen durch gezielte Analyse von Mach-IPC

Reguliert und abgesichert: Wie Backup-Systeme FINRA- und SEC-Compliance erleichtern

Wenn Integrationen scheitern: Technische Herausforderungen bei externem Zugriff
Studien

Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld

Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs

Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart

IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran

Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus
Whitepaper

Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier

Cybersicherheit in KMUs: Alarmiert, aber schlecht gerüstet

Forescout warnt vor zunehmendem staatlich gefördertem Hacktivismus

Internationale KnowBe4-Umfrage: Über 90 Prozent halten Phishing-Tests für sinnvoll

Cyber Security geht uns alle an – besonders in Zeiten wachsender digitaler Bedrohungen
Hamsterrad-Rebell

Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken

Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen

Anmeldeinformationen und credential-basierte Angriffe
