SentinelLabs deckt zwölf Jahre alte Sicherheitslücke auf
Schwachstelle bei Windows Defender
Die Sicherheitsforscher von SentinelLabs, der Forschungsabteilung von SentinelOne, haben laut eigenem Bekunden im November 2020 eine Schwachstelle bei der Software Windows Defender entdeckt, deren Befund nun veröffentlicht ist. Die Sicherheitslücke erlaubt eine Ausweitung der Berechtigungen als Nicht-Administrator, wodurch Angreifer Schadprogramme einschleusen können. Windows Defender ist tief in das Windows-Betriebssystem integriert und standardmäßig auf jedem Windows-Rechner installiert.
Auf Berechtigungen basierende Dienste in Windows oder in Windows-Komponenten können Fehler enthalten, die eine missbräuchliche Ausweitung von Zugriffsrechten ermöglichen. Angreifer nutzen solche Schwachstellen oft aus, um ausgefeilte Angriffe durchzuführen. Sicherheitslösungen sorgen in der Regel für Geräte- und Netzwerksicherheit, indem sie solche Angriffe verhindern, doch in diesem Fall war es eine eben solche Software, in der eine Sicherheitslücke vorkam.
Verantwortlich für die Schwachstelle ist ein interner Treiber mit dem Namen BTR.sys. Er ist Teil des Wiederherstellungsprozesses innerhalb von Windows Defender und zuständig für das Löschen von Dateisystem- und Registry-Ressourcen, die bösartige Software im Kernel-Modus erstellte. Wenn er geladen ist, erstellt der Treiber zunächst einen Handle auf eine Datei, die das Protokoll seiner Operationen enthält, wenn er aktiviert ist. Das Problem liegt in der Art und Weise, wie der Treiber das Handle zu dieser speziellen Datei erstellt, was Angreifern erlauben könnte, beliebige Dateien zu überschreiben.
Die Sicherheitsforscher haben laut eigenen Angaben Versionen des Treibers gefunden, die den Fehler enthalten. Der Fehler könnte auch schon vor 2009 existiert haben, doch das bei der Untersuchung verwendete Tool VirusTotal erlaubt nur die Suche nach innerhalb eines begrenzten Zeitraums hochgeladenen Dateien.
Microsoft hat die Sicherheitslücke in Windows Defender gepatcht und einen Fix veröffentlicht. Den Sicherheitsforschern sind keine Hinweise bekannt, dass Kriminelle diese Schwachstelle zum jetzigen Zeitpunkt bereits ausgenutzt haben. Nutzer von SentinelOne seien vor der Sicherheitslücke geschützt, da dieser Treiber bei der Installation des hauseigenen Agenten nicht lädt.
Weitere Informationen stehen unter www.sentinelone.com zur Verfügung.
Lesen Sie mehr zum Thema
