Wie schleust man Schadsoftware am Windows Defender vorbei?

Zero Day Lücken tauchen laufend auf, so auch beim allseits verwendeten Windows und dessen Module. Dieses Mal ist es eine Lücke, die es erlaubt Schadsoftware am Windows Defender vorbeizuschleusen. Wie das funktioniert? Dank einer Sicherheitslücke sehr einfach. Ein Nutzer möchte eine Datei öffnen. Im gleichen Moment scannt die Antivirus Software diese Datei, doch dank der Lücke, kann man dem Antivirus Programm eine andere Datei unterjubeln, als die, die tatsächlich vom Nutzer geladen worden ist.

Das eigentliche Doing und Testing wurde von CyberArk bereits durchgeführt und wir hier technisch genauer untersucht:

Video Details

Für alle Video Fans gibt es hier verlinkte Inhalte zu der Art und Weise wie so ein Angriff durchgeführt werden kann:

alternativ:

Folgen für Antivirus

Aktuell ist nur bekannt, dass die Lücke in Verbindung mit dem Windows Defender funktioniert. Andere Antivirus System wurden von CyberArk aktuell nicht getestet und können damit auch nicht ausgeschlossen werden. Es sieht aber nicht gut aus.

Bevor Panik entsteht: Es ist gut möglich, dass andere Antivirus Lösungen über andere Windowsfunktionen ihren Dienst verrichten, so dass auch andere Herangehensweisen an das Scannen existieren. Das heißt: Über mögliche, alternative Wege der Überprüfung wäre die Lücke tatsächlich nur für die Antivius Systeme gefährlich, die den gleichen Weg wie der Windows Defender gehen.

Beitragsbild Security check mark von Christiaan Coolen – Lizenz: CC-BY-SA 2.0

Schreibe einen Kommentar