Die Sicherheitsforscher von SentinelLabs, der Forschungsabteilung von SentinelOne, haben im November 2020 eine schwerwiegende Schwachstelle bei der Software Windows Defender entdeckt, deren Befund nun veröffentlicht wurde. Die Sicherheitslücke erlaubt eine Ausweitung der Berechtigungen als Nicht-Administrator, wodurch beispielsweise Schadprogramme von Angreifern eingeschleust werden können. Windows Defender ist tief in das Windows-Betriebssystem integriert und ist standardmäßig auf jedem Windows-Rechner (mehr als 1 Milliarde Geräte) installiert, was diese Schwachstelle besonders gefährlich macht.
Auf Berechtigungen basierte Dienste in Windows oder in Windows-Komponenten können Fehler enthalten, die eine missbräuchliche Ausweitung von Zugriffsrechten ermöglichen. Angreifer nutzen solche Schwachstellen oft aus, um ausgefeilte Angriffe durchzuführen. Sicherheitslösungen sorgen in der Regel für Geräte- und Netzwerksicherheit, indem sie solche Angriffe verhindern, doch in diesem Fall war es eine eben solche Software, in der eine Sicherheitslücke entdeckt wurde.
Schwerwiegende Sicherheitslücke in Treiber von Antivirussoftware
Verantwortlich für die Schwachstelle ist ein interner Treiber mit dem Namen BTR.sys. Er ist Teil des Wiederherstellungsprozesses innerhalb von Windows Defender und zuständig für das Löschen von Dateisystem- und Registry-Ressourcen, die von bösartiger Software im Kernel-Modus erstellt wurden. Wenn er geladen wird, erstellt der Treiber zunächst einen Handle auf eine Datei, die das Protokoll seiner Operationen enthält, wenn er aktiviert wird. Das Problem liegt in der Art und Weise, wie der Treiber das Handle zu dieser speziellen Datei erstellt, was Angreifern erlauben könnte, beliebige Dateien zu überschreiben.
Die Sicherheitsforscher haben Versionen des Treibers gefunden, die den Fehler enthalten und von Microsoft bereits 2009 signiert wurden. Der Fehler könnte möglicherweise auch schon vor 2009 existiert haben, doch das bei der Untersuchung verwendete Tool VirusTotal erlaubt nur die Suche nach Dateien, die innerhalb eines begrenzten Zeitraums hochgeladen wurden.
Microsoft hat die Sicherheitslücke in Windows Defender gepatcht und am 9. Februar 2021 einen Fix veröffentlicht. Vor dem Patch blieb die Schwachstelle allerdings 12 Jahre lang unentdeckt, vermutlich aufgrund der Art und Weise, wie dieser spezielle Mechanismus aktiviert wird. SentinelOne sind keine Hinweise bekannt, dass diese Schwachstelle zum jetzigen Zeitpunkt bereits ausgenutzt wurde. Kunden von SentinelOne sind vor dieser Sicherheitslücke geschützt, da dieser Treiber bei der Installation des SentinelOne-Agenten nicht geladen wird.
Weitere Informationen und technische Details zu der Sicherheitslücke finden Sie auf der Webseite von SentinelLabs: https://labs.sentinelone.com/cve-2021-24092-12-years-in-hiding-a-privilege-escalation-vulnerability-in-windows-defender/
Firma zum Thema
Fachartikel
LIVE WEBINAR: Verschlüsselter und einfacher Datentransfer per E-Mail oder Datenraum
Cybersecurity: Endlich Schluss mit dem Tool-Wahnsinn
SD-WAN: Warum DDI der Schlüssel zu effizientem Management ist
(Keine) Cyberrisiken (mehr) im erweiterten Zulieferer-Netzwerk
Wie Managed Service Provider (MSP) Daten vor Ransomware-Angriffen schützen sollten
Studien
Cybersicherheit: Unternehmen unterschätzen Risiken durch Partner und Lieferanten
IBM „Cost of a Data Breach“- Studie 2022: Verbraucher zahlen den Preis, da die Kosten für Datenschutzverletzungen ein Allzeithoch erreichen
Gestohlene Zugangsdaten sind im Dark Web günstiger als ein Döner
Jedes zweite Fertigungsunternehmen rechnet mit Zunahme von Cyberangriffen – bei weiterhin lückenhafter Cybersicherheit
Hybride Arbeitsmodelle: Firmware-Angriffe nehmen signifikant zu
Whitepaper
Trellix Threat Labs Report: ein Blick auf die russische Cyber-Kriminalität
Q1 2022 Lage der IT-Sicherheit: 57 % aller Sicherheitsvorfälle gehen auf bekannte Netzwerkschwachstellen zurück
Ransomware-Vorfälle nehmen weiter zu
DDOS-Angriffe in Deutschland sinken, aber neue fokussiere Angriffstechniken werden weiterentwickelt
