Windows Love

Windows Defender zeigte keine Schwachstelle für #AVGater

  1. Home
  2. /
  3. Microsoft
  4. /
  5. Windows Defender zeigte keine Schwachstelle für #AVGater

#AVGater ließ Antiviren-Szene aufschrecken

Letztes Wochenende hallte ein Schreien durch die Antiviren-Software-Welt. Eine publik gemachte Verwundbarkeit, die bereits von vielen Herstellern gepatcht wurde, lief vielen Nutzern und Entwicklern schaurig den Rücken hinunter. Die Schwachstelle konnte ausgenutzt werden, wenn ein Angreifer lokalen Zugang zu dem betreffenden System hatte oder der Nutzer zur aktiven Mitarbeit bewegt wurde.

Gründliche Dokumentation für nachvollziehbare Rückkonstruktion

Die vom Entdecker Florian Bogner benannte Schwachstelle #AVGater, wurde in seinem Blog ausführlich dokumentiert. Der Ablauf lasst sich wie folgt zusammenfassen: Wenn eine schädlich DLL-Datei vom Antiviren-Programm in Quarantäne verschoben wird, kann mit Hilfe von symbolischer NTFS-Links, die betroffene Datei aus dem Quarantäne-Verzeichnis herausgelesen und somit erfolgreich geladen werden. Hierbei wird die Logik der DLL-Suche von Windows ausgenutzt. Folgende sucht eine angeforderte DLL-Datei auch im Pfad der zugehörigen Applikation – wenn diese nun mittels eines symbolischen Links auf das Quarantäne-Verzeichnis verweist, wird die DLL von dort geladen.

Hersteller liefern Unterbindung in Form von Fix

Hersteller wie Trend Micro, Emsisoft, Kaspersky, Malwarebytes, ZoneAlarm und Ikarus, sind laut Blogbeitrag jene, die zum Zeitpunkt der Veröffentlichung bereits die Sicherheitslücke, mit einem Fix, geschlossen haben. Weitere Hersteller werden ebenfalls nachziehen, um ihre Nutzer zu schützen.

Windows Defender immun gegen solche Art Angriffe

Der Windows Defender war zu vielem erstaunen nicht anfällig für jene Schwachstelle – weil die in Windows integrierte AV-Lösung für diesen Angriff niemals anfällig war. Stolz verkündete das Secruity-Team in einem Blog-Beitrag, dass der Defender "by Design" immun gegen die Angriffe ist. Bogner sprach von #AVGater als neuartige Angriffstaktik, Microsoft dementiert dies und spricht von einer „relativ alten Angriffs-Masche“. Positiv anzumerken ist der Fakt, dass der Windows Defender grundsätzlich den Dateizugriff von vom Nutzer gestarteten Anwendungen auf Quarantäne-Dateien unterbindet und so eine Ausnutzung dieser Schwachstelle merklich nicht möglich mache.

Gut möglich also, dass nicht alle AV-Hersteller einen Fix gegen #AVGater liefern werden, sofern die Programme ohnehin schon gegen einen derartigen Angriff abgesichert waren.

Erstaunlich, oder? Der Windows Defender ist scheinbar doch nicht so schlecht wie immer alle gemeint haben. Was haltet ihr davon? Schreibt es mir in die Kommentare!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto
Anna

Administrator/in

Administratorin und Webentwicklerin von Windows Love | Gamerin | Serien, YouTube und Musik Junkie

162 Beiträge

Neuste Beiträge

Kommentare

guest
0 Kommentare
Inline Feedbacks
Alle Kommentare anzeigen