Ein Fehler im Windows 10 Defender-Antivirenprogramm wurde seit 12 Jahren behoben.
Microsoft hat gestern am Dienstag den Februar-Patch veröffentlicht, mit dem eine Vielzahl von Sicherheitslücken in Windows 10 behoben wurden. Darunter befanden sich mehrere Zero-Day-Sicherheitslücken, mit denen sowohl Remotecode auf unseren Computern ausgeführt als auch Bluescreens generiert werden konnten. Außerdem haben sie ein anderes gepatcht, das seit mindestens 12 Jahren im Betriebssystem vorhanden ist.
Dies wurde vom Cybersicherheitsunternehmen SentinelOne angekündigt, nachdem Microsoft es gestern gepatcht hatte, um seine Existenz beruhigter zu teilen und zu wissen, dass eine Lösung verfügbar ist. Sie haben jedoch nicht viele technische Details angegeben, um mehr Zeit für das Update zu haben, um mehr Benutzer zu erreichen.
Windows Defender ist von dem Fehler betroffen, und es wurden 12 Jahre ohne Patches verbracht
Der Fehler war in Windows Defender vorhanden, einem der sensibelsten Elemente des Betriebssystems. Insbesondere betrifft der Fehler einen Treiber, der vom Antivirenprogramm zum Entfernen invasiver Dateien und Infrastrukturen verwendet wird, die Malware erstellen kann, um sich auf dem Computer zu verbreiten. Dies ist eine grundlegende Funktion der Funktionsweise eines Antivirenprogramms. Wenn der Treiber die schädliche Datei löscht, ersetzt er sie durch eine harmlose, während die Malware entfernt wird. Die Forscher stellten jedoch fest, dass Windows Defender die neu erstellte Datei nicht überprüfte, sodass ein Angreifer den Treiber so ändern konnte, dass die falsche Datei überschrieben oder sogar schädlicher Code ausgeführt werden konnte.
Windows Defender wird von Hunderten Millionen Menschen wie Windows 10 Antivirus auf der ganzen Welt verwendet, da es standardmäßig im System enthalten ist. Daher ist ein Fehler in ihm oder im Treiber, der von Microsoft selbst signiert wurde, gefährlich, da er für das Betriebssystem möglicherweise legitim und sicher aussieht, obwohl dies nicht der Fall ist. Der Treiber kann geändert werden, um Software oder Daten zu entfernen, und seinen Code ausführen, um die vollständige Kontrolle über das System zu übernehmen, da es eskalierende Berechtigungen ermöglicht.
Auch Windows Vista-Benutzer sind betroffen
Der Fehler wurde Microsoft Mitte November gemeldet und sie haben den Patch diese Woche endlich veröffentlicht. Die Sicherheitsanfälligkeit wurde als risikoreich eingestuft und konnte nur von einem Angreifer mit Remote- oder physischem Zugriff auf den Computer ausgenutzt werden. Um es auszunutzen, müsste es daher mit einer anderen Sicherheitsanfälligkeit kombiniert werden.
Laut SentinelOne und Microsoft gibt es keine Hinweise darauf, dass die Sicherheitsanfälligkeit von einem Angreifer ausgenutzt wurde. Es ist jedoch schwer zu wissen, da 12 Jahre eine lange Zeit sind und impliziert, dass Windows 7-Benutzer jetzt davon betroffen sind. Darüber hinaus behaupten die Forscher, dass die Sicherheitsanfälligkeit möglicherweise noch länger besteht, ihre Forschung jedoch auf 2009 beschränkt war, was bis zu der von ihnen verwendeten VirusTotal-Antiviren-Datenbank zurückreicht.
SentinelOne glaubt, dass es so lange gedauert hat, bis der Fehler entdeckt wurde, da der betroffene Treiber nicht immer auf dem Computer gespeichert ist. Stattdessen wird ein System namens “Dynamic Link Library” verwendet, das den Treiber nur bei Bedarf lädt und anschließend entfernt. Sie behaupten auch, dass diese Art von Fehlern in anderer Antivirensoftware auftreten kann, und ermutigen andere Unternehmen, ihre Software auf solche Schwachstellen zu überprüfen.
