Ein IT-Forscher hat entdeckt, dass sich die Erkennung des Microsoft Defenders mit einem Komma austricksen lässt.
Im Microsoft Defender steckt eine Schutzkomponente, die Ausführung von Schadcode mithilfe von rundll32.exe erkennen und unterbinden soll. Dieser Mechanismus lässt sich derzeit leicht austricksen, hat ein IT-Forscher in der vergangenen Woche mitgeteilt.
In einer Sicherheitsmitteilung erläutert John Page, dass er bereits 2022 gezeigt hatte, dass sich der Schutz vor Ausführung von Malware durch Start mit rundll32.exe umgehen ließ. Er zeigt, wie sich Malware von externer Quelle einschleusen lässt, indem bei der Referenzierung von mshtml beim Aufruf von rundll32.exe eine sogenannte Path Traversal missbraucht wird, im konkreten Fall ein zusätzliches “..\“.
Microsoft Defender: Alte Umgehung mit neuem Trick
Im Beispiel wurde aus rundll32.exe javascript:"\..\..\mshtml,RunHTMLApplication ";alert(1), was mit einer Fehlermeldung und Warnung durch Windows Defender quittiert wird, einfach rundll32.exe javascript:"\..\..\..\mshtml,RunHTMLApplication ";alert(666), was an der administrativen Kommandozeile ausgeführt wurde. Anstatt einer Anzeige eines alert lässt sich mit der Javascript-Anweisung GetObjectSchadcode von externer Quelle herunterladen.
Das hat Microsoft offenbar inzwischen unterbunden, auch die Variante mit der Pfad-Erweiterung wirft eine Fehlermeldung aus. Ergänzt ein bösartiger Akteur aber hinter der mshtml-Referenz ein zusätzliches Komma, lässt sich der Microsoft-Defender-Schutz erneut austricksen, der untergeschobene Code gelangt zur Ausführung: rundll32.exe javascript:"\..\..\mshtml,,RunHTMLApplication ";alert(666) zeigt den Alarmdialog mit der Zeichenfolge “666” an.
Die Sicherheitslücke wurde vom CERT-Bund des BSI als mittelschwer eingestuft, mit einer vorläufigen CVSS-Bewertung von 5.3. Dennoch ermöglicht solch eine Lücke Angreifern, sich etwa im System einzunisten oder weiter auszubreiten. Die Antwort auf eine Anfrage, ob Microsoft bereits Kenntnis von der Schwachstelle hat, an einer Fehlerkorrektur arbeitet und wann die zu erwarten ist, steht derzeit noch aus.
Microsoft rüstet die Defender-Anti-Malware mit immer weiteren Schutzmechanismen aus. Ende vergangenen Jahres kam etwa die Unterstützung durch Künstliche Intelligenz hinzu, die menschengesteuerte Angriffe wie Ransomware-Attacken automatisch erkennen und blockieren können soll.
Ein Microsoft-Sprecher erklärte am Dienstagabend gegenüber heise online, dass die Entwickler die falsch-negativen Erkennungen nachvollzogen haben und die Logik für diese Warnungt angepasst hätten. Das Update wird mit den automatischen Updates verteilt. Wer diese nicht deaktiviert hat, erhält die Lösung daher automatisch.