{"id":200635,"date":"2018-02-07T07:58:57","date_gmt":"2018-02-07T06:58:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=200635"},"modified":"2018-02-07T13:23:19","modified_gmt":"2018-02-07T12:23:19","slug":"windows10-ordnerschutz-gegen-ransomware-ausgehebelt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/02\/07\/windows10-ordnerschutz-gegen-ransomware-ausgehebelt\/","title":{"rendered":"Windows 10: Ordnerschutz gegen Ransomware ausgehebelt"},"content":{"rendered":"

[English<\/a>]Lange hat es nicht gedauert: In Windows 10 Fall Creators Update (V1709) hat Microsoft beim Defender auch das Thema Ordnerschutz spendiert. Soll gegen Ransomware helfen. Jetzt gibt es Berichte, dass Forscher diesen Ransomware-Schutz ganz einfach per OLE umgehen konnten – ist laut Microsoft keine Sicherheitsl\u00fccke, sondern wird, dank Windows-as-a-service, irgendwann gefixt.<\/p>\n

<\/p>\n

Darum geht es: Ordnerschutz beim Windows-Defender<\/h2>\n

\"\"Im Windows Defender ist ab Windows 10 Fall Creators Update (V1709) eine neue Funktion Ordnerschutz (Folder Protection) mit an Bord. Diese soll das Schreiben und Manipulieren von Dateien durch unberechtigte Anwendungen (Malware, Ransomware) unterbinden. Eingeschaltet wird der Ordnerschutz \u00fcber folgende Schritte:<\/p>\n

1. Rufen Sie die Einstellungen<\/em>-App per Startmen\u00fc auf und gehen Sie zu Update und Sicherheit.<\/em><\/p>\n

2. In der Kategorie ist dann die Unterkategorie Windows Defender <\/em>zu w\u00e4hlen und die Schaltfl\u00e4che Windows Defender Security Center \u00f6ffnen<\/em> anzuw\u00e4hlen.<\/p>\n

3. Im Windows Defender Security Center klickt man auf Viren- & Bedrohungsschutz<\/em> und in der Folgeseite auf Einstellungen f\u00fcr Viren- & Bedrohungsschutz<\/em>.<\/p>\n

\"Defender<\/p>\n

4. Dort ist der Schalter \u00dcberwachter Ordnerzugriff <\/em>auf Ein zu stellen.<\/p>\n

\"Defender:<\/p>\n

Im Anschluss kann man \u00fcber Gesch\u00fctzte Ordner <\/em>die zu \u00fcberwachenden Ordner festlegen. \u00dcber App durch \u00fcberwachten Ordnerzugriff zulassen<\/em> lassen sich Anwendungen in eine Whitelist aufnehmen, um in die Ordner schreiben zu k\u00f6nnen. Diese Funktion erfordert aber administrative Rechte. Eine sinnvolle Funktion. Allerdings hatte ich mir im Blog-Beitrag Windows 10 V1709: Klippen beim Defender?<\/a> schon mal Gedanken um diese Funktion gemacht und bin etwas ratlos zur\u00fcck geblieben.<\/p>\n

Ordnerschutz mutma\u00dflich per OLE umgangen<\/h2>\n

Bleeping Computer berichtet nun hier<\/a>, dass es Sicherheitsforschern gelungen sei, diesen Ordnerschutz zu umgehen. Dem spanischen Sicherheitsforscher von SecurityByDefault, Yago Jesus, ist aufgefallen, dass Microsoft automatisch alle Office-Anwendungen auf eine White-List gesetzt hat. Das bedeutet, dass Office-Anwendungen Dateien, die sich in einem gesch\u00fctzten Ordner befinden, \u00e4ndern (und den CFA-Schutz so umgehen) k\u00f6nnen, ob es dem Benutzer gef\u00e4llt oder nicht.<\/p>\n

Laut Jesus kann ein Ransomware-Entwickler die Microsoft CFA Anti-Ransomware-Funktion leicht umgehen, indem er einfache Skripte in seiner Schadsoftware hinzuf\u00fcgt, die den Ordnerschutz (CFA) \u00fcber OLE-Objekte in Office-Dateien umgehen. Der entsprechende Ansatz wurde von Jesus am Wochenende hier<\/a> ver\u00f6ffentlicht. Es gibt dort drei Beispiele f\u00fcr manipulierte Office-Dokumente (die per Spam-E-Mail verteilt werden k\u00f6nnten). Diese lassen sich verwenden, um den Inhalt anderer Office-Dokumente, die in gesch\u00fctzten -Ordnern gespeichert sind, zu \u00fcberschreiben, die gleichen Dateien mit einem Kennwort zu sch\u00fctzen oder ihren Inhalt in Dateien au\u00dferhalb des CFA-Ordners einzuf\u00fcgen, diese zu verschl\u00fcsseln und die Originale zu l\u00f6schen.<\/p>\n

W\u00e4hrend das erste Beispiel nur destruktiv ist, funktionieren die zwei anderen Beispiele f\u00fcr Ransomware, um vom Opfer L\u00f6segeldes zur Freischaltung des Passwort-\/Entschl\u00fcsselungscode zu fordern.<\/p>\n

Unzufrieden mit der Reaktion Microsofts<\/h2>\n

Der Sicherheitsforscher hat Microsoft \u00fcber das von ihm entdeckte Problem informiert, ist aber unzufrieden mit der Reaktion des Herstellers. In einem Screenshot der E-Mail, die er von Microsoft erhielt, dokumentiert Jesus, dass der Hersteller des Betriebssystems das Problem nicht als Sicherheitsschwachstelle eingestuft habe. Microsoft will den Ordnerschutz in zuk\u00fcnftigen Versionen verbessern, um die berichtete Bypass-Methode zu adressieren. Mir kommt die Funktion eh wie eine Baustelle vor.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows 10 V1709: Klippen beim Defender?<\/a>
\nWindows Defender Offline scannt nicht<\/a>
\nWindows Defender: Update KB4052623<\/a>
\nWindows-Defender und Kontextmen\u00fc zur Dateipr\u00fcfung?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Lange hat es nicht gedauert: In Windows 10 Fall Creators Update (V1709) hat Microsoft beim Defender auch das Thema Ordnerschutz spendiert. Soll gegen Ransomware helfen. Jetzt gibt es Berichte, dass Forscher diesen Ransomware-Schutz ganz einfach per OLE umgehen konnten – … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[2699,24,4378],"class_list":["post-200635","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-defender","tag-problem","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/200635","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=200635"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/200635\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=200635"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=200635"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=200635"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}