[English]Microsoft hat im September 2019 still und heimlich einen Bug im Windows Defender gepatcht. Denn der Virenwächter konnte kein Right-to-left-Overright Unicode-Zeichen U+202E bearbeiten.
Anzeige
Der Windows Defender ist ja der in Windows 8.1 und Windows 10 standardmäßig mitgelieferte Virenscanner. Selbst in Windows 7 ist eine abgespeckte Fassung dabei. Nun müssen Windows und die Programme auch Sprachen unterstützen, in denen Texte von rechts nach links ausgegeben werden. Im Text wird dazu das Unicode-Zeichen U+202E verwendet.
Add Windows Defender to the list of apps that couldn't handle U+202E (Unicode RLO "right-to-left override" character)
This was patched way way way back in September with an silent Defender update. Still interesting though.https://t.co/vbQsZk6ok3 pic.twitter.com/wkIH8Cn5jE
— Catalin Cimpanu (@campuscodi) December 11, 2019
Der Windows Defender gehörte aber wohl zu den Anwendungen, die durch ein solches Unicode-Zeichen in einem Datenstrom aus dem Konzept gebracht werden konnten, wie obiger Tweet signalisiert.
Konkret geht es dabei um sogenanntes File Extension Spoofing, bei dem Nutzer und Anwendungen über eine Dateinamenerweiterung getäuscht werden sollen. Dazu wird das RTL-Zeichen in der Dateinamenerweiterung eingebettet, so das diese Erweiterung nicht mehr erkannt wird.
Anzeige
So kann beispielsweise ein Angreifer eine ausführbare Datei (.exe) spoofed-[LTR]gpj.exe benennen. Durch das LTR-Steuerzeichen wird auf einem System mit Links-nach-rechts-Textausgabe eine Datei spoofed-exe.jpg angezeigt. Durch Kombination mit dem richtigen Dateisymbol kann ein Angreifer eine beliebige Dateiendung nachahmen.
Während das Sicherheitsproblem des Spoofens der Dateiendung durch die Verwendung des RTL-Unicode-Zeichens (oder LTR auf RTL-Systemen) weitgehend bekannt ist, meint dieser Artikel, dass es wohl unbekannt zu sein scheint, dass Microsoft damit begonnen hat, Erkennungsmechanismen für dieses Problem zu seinen Anwendungen hinzuzufügen. Da die Erkennung aber nicht für alle Erweiterungen implementiert ist und in der falschen Reihenfolge implementiert zu sein scheint, ist diese Funktion weitgehend unbekannt.
(RTL Filename Spoofing, Quelle: sec-consult.com)
Die Sicherheitsforscher konnten in einem Proof of Concept zeigen, dass der Windows Defender Version 4.18.1908.7-0 vom vom 25. September 2019 Probleme mit solchen Dateinamen hat. Bei Tests mit Erweiterungen, wie xlsx für ein Microsoft Excel Sheet kam es vor, dass die Erweiterung in umgekehrte Zeichenfolge xslx ausgegeben wurde. Windows Defender Antivirus entfernte die Testdatei beim Versuch, diese auszuführen.
Als Ergebnis wurden zwei Dateien erstellt, mit genau der gleichen ausführbaren Datei, aber mit unterschiedlichen gefälschten Dateinamenerweiterungen. Der zweite Datei wurde gelöscht, während der erste problemlos ausgeführt werden konnte. Von den Sicherheitsforschern wurden auch andere Erweiterungen im Zusammenhang mit Microsoft Office getestet. Es scheint, dass nur die xlsx-Erweiterung eine Erkennung für RTL-Zeichen hatte. Nachdem Microsoft über das Problem informiert wurde, hat das Unternehmen den Windows Defender am 30. September 2019 gepatcht. Details lassen sich in diesem Beitrag nachlesen. Ist nicht so wirklich was weltbewegendes, sondern eher interessante Fußnote am Rande, welches Bugs in mancher Software schlummern.
Anzeige
Interessant wäre, ob auch der Defender von Win 8.1 (nach wie vor ja im Support, ich nutze das z.B. auf meinem Rechner) ebenfalls betroffen ist. Der steht ja schon seit "ewigen Zeiten" festgenagelt auf Version 4.10.209.0 obwohl da beim Win10-Defender zwischenzeitlich immer wieder aktualisiert werden mußte.
Und aktuelle Antivirensoftware-Tests für Windows 8.1 gibt es auch nicht mehr.
Schau mal, vielleicht ist hier was dabei (aber nur vielleicht, ich habe kein Win 8)
https://www.microsoft.com/en-us/wdsi/defenderupdates