
Die Sicherheitsforscher von SentinelLabs, der Forschungsabteilung von SentinelOne, haben im November 2020 eine schwerwiegende Schwachstelle bei der Software Windows Defender entdeckt, deren Befund nun veröffentlicht wurde. Die Sicherheitslücke erlaubt eine Ausweitung der Berechtigungen als Nicht-Administrator, wodurch beispielsweise Schadprogramme von Angreifern eingeschleust werden können. Windows Defender ist tief in das Windows-Betriebssystem integriert und ist standardmäßig auf jedem Windows-Rechner (mehr als 1 Milliarde Geräte) installiert, was diese Schwachstelle besonders gefährlich macht.
Auf Berechtigungen basierte Dienste in Windows oder in Windows-Komponenten können Fehler enthalten, die eine missbräuchliche Ausweitung von Zugriffsrechten ermöglichen. Angreifer nutzen solche Schwachstellen oft aus, um ausgefeilte Angriffe durchzuführen. Sicherheitslösungen sorgen in der Regel für Geräte- und Netzwerksicherheit, indem sie solche Angriffe verhindern, doch in diesem Fall war es eine eben solche Software, in der eine Sicherheitslücke entdeckt wurde.
Schwerwiegende Sicherheitslücke in Treiber von Antivirussoftware
Verantwortlich für die Schwachstelle ist ein interner Treiber mit dem Namen BTR.sys. Er ist Teil des Wiederherstellungsprozesses innerhalb von Windows Defender und zuständig für das Löschen von Dateisystem- und Registry-Ressourcen, die von bösartiger Software im Kernel-Modus erstellt wurden. Wenn er geladen wird, erstellt der Treiber zunächst einen Handle auf eine Datei, die das Protokoll seiner Operationen enthält, wenn er aktiviert wird. Das Problem liegt in der Art und Weise, wie der Treiber das Handle zu dieser speziellen Datei erstellt, was Angreifern erlauben könnte, beliebige Dateien zu überschreiben.
Die Sicherheitsforscher haben Versionen des Treibers gefunden, die den Fehler enthalten und von Microsoft bereits 2009 signiert wurden. Der Fehler könnte möglicherweise auch schon vor 2009 existiert haben, doch das bei der Untersuchung verwendete Tool VirusTotal erlaubt nur die Suche nach Dateien, die innerhalb eines begrenzten Zeitraums hochgeladen wurden.
Microsoft hat die Sicherheitslücke in Windows Defender gepatcht und am 9. Februar 2021 einen Fix veröffentlicht. Vor dem Patch blieb die Schwachstelle allerdings 12 Jahre lang unentdeckt, vermutlich aufgrund der Art und Weise, wie dieser spezielle Mechanismus aktiviert wird. SentinelOne sind keine Hinweise bekannt, dass diese Schwachstelle zum jetzigen Zeitpunkt bereits ausgenutzt wurde. Kunden von SentinelOne sind vor dieser Sicherheitslücke geschützt, da dieser Treiber bei der Installation des SentinelOne-Agenten nicht geladen wird.
Weitere Informationen und technische Details zu der Sicherheitslücke finden Sie auf der Webseite von SentinelLabs: https://labs.sentinelone.com/cve-2021-24092-12-years-in-hiding-a-privilege-escalation-vulnerability-in-windows-defender/
Fachartikel

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
