{"id":226052,"date":"2019-12-14T00:14:00","date_gmt":"2019-12-13T23:14:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=226052"},"modified":"2020-12-24T01:27:08","modified_gmt":"2020-12-24T00:27:08","slug":"windows-defender-konnte-kein-unicode-zeichen-u202e","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/12\/14\/windows-defender-konnte-kein-unicode-zeichen-u202e\/","title":{"rendered":"Windows Defender konnte kein Unicode-Zeichen U+202E"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[English]Microsoft hat im September 2019 still und heimlich einen Bug im Windows Defender gepatcht. Denn der Virenw\u00e4chter konnte kein Right-to-left-Overright Unicode-Zeichen U+202E bearbeiten. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg01.met.vgwort.de\/na\/fc043ab696c4410da6595517eab31f1d\" width=\"1\" height=\"1\"\/>Der Windows Defender ist ja der in Windows 8.1 und Windows 10 standardm\u00e4\u00dfig mitgelieferte Virenscanner. Selbst in Windows 7 ist eine abgespeckte Fassung dabei. Nun m\u00fcssen Windows und die Programme auch Sprachen unterst\u00fctzen, in denen Texte von rechts nach links ausgegeben werden. Im Text wird dazu das Unicode-Zeichen U+202E verwendet. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Add Windows Defender to the list of apps that couldn't handle U+202E (Unicode RLO \"right-to-left override\" character)<\/p>\n<p>This was patched way way way back in September with an silent Defender update. Still interesting though.<a href=\"https:\/\/t.co\/vbQsZk6ok3\">https:\/\/t.co\/vbQsZk6ok3<\/a> <a href=\"https:\/\/t.co\/wkIH8Cn5jE\">pic.twitter.com\/wkIH8Cn5jE<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1204805457363308544?ref_src=twsrc%5Etfw\">December 11, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Der Windows Defender geh\u00f6rte aber wohl zu den Anwendungen, die durch ein solches Unicode-Zeichen in einem Datenstrom aus dem Konzept gebracht werden konnten, wie obiger Tweet signalisiert.<\/p>\n<p>Konkret geht es dabei um sogenanntes File Extension Spoofing, bei dem Nutzer und Anwendungen \u00fcber eine Dateinamenerweiterung get\u00e4uscht werden sollen. Dazu wird das RTL-Zeichen in der Dateinamenerweiterung eingebettet, so das diese Erweiterung nicht mehr erkannt wird. <\/p>\n<p>So kann beispielsweise ein Angreifer eine ausf\u00fchrbare Datei (.exe) <em>spoofed-[LTR]gpj.exe<\/em> benennen. Durch das LTR-Steuerzeichen wird auf einem System mit Links-nach-rechts-Textausgabe eine Datei <em>spoofed-exe.jpg <\/em>angezeigt. Durch Kombination mit dem richtigen Dateisymbol kann ein Angreifer eine beliebige Dateiendung nachahmen.<\/p>\n<p>W\u00e4hrend das Sicherheitsproblem des Spoofens der Dateiendung durch die Verwendung des RTL-Unicode-Zeichens (oder LTR auf RTL-Systemen) weitgehend bekannt ist, meint <a href=\"https:\/\/web.archive.org\/web\/20200925214912\/https:\/\/sec-consult.com\/en\/blog\/advisories\/file-extension-spoofing-in-windows-defender-antivirus\/\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Artikel<\/a>, dass es wohl unbekannt zu sein scheint, dass Microsoft damit begonnen hat, Erkennungsmechanismen f\u00fcr dieses Problem zu seinen Anwendungen hinzuzuf\u00fcgen. Da die Erkennung aber nicht f\u00fcr alle Erweiterungen implementiert ist und in der falschen Reihenfolge implementiert zu sein scheint, ist diese Funktion weitgehend unbekannt.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"RTL Filename Spoofing\" alt=\"RTL Filename Spoofing\" src=\"https:\/\/web.archive.org\/web\/20191222120124\/https:\/\/sec-consult.com\/wp-content\/uploads\/2019\/12\/win-defender-ext-spoofing1-censored.jpg\" width=\"604\" height=\"264\"\/><br \/>(RTL Filename Spoofing, Quelle: sec-consult.com)<\/p>\n<p>Die Sicherheitsforscher konnten in einem Proof of Concept zeigen, dass der Windows Defender Version 4.18.1908.7-0 vom vom 25. September 2019 Probleme mit solchen Dateinamen hat. Bei Tests mit Erweiterungen, wie xlsx f\u00fcr ein Microsoft Excel Sheet kam es vor, dass die Erweiterung in umgekehrte Zeichenfolge xslx ausgegeben wurde. Windows Defender Antivirus entfernte die Testdatei beim Versuch, diese auszuf\u00fchren. <\/p>\n<p>Als Ergebnis wurden zwei Dateien erstellt, mit genau der gleichen ausf\u00fchrbaren Datei, aber mit unterschiedlichen gef\u00e4lschten Dateinamenerweiterungen. Der zweite Datei wurde gel\u00f6scht, w\u00e4hrend der erste problemlos ausgef\u00fchrt werden konnte. Von den Sicherheitsforschern wurden auch andere Erweiterungen im Zusammenhang mit Microsoft Office getestet. Es scheint, dass nur die xlsx-Erweiterung eine Erkennung f\u00fcr RTL-Zeichen hatte. Nachdem Microsoft \u00fcber das Problem informiert wurde, hat das Unternehmen den Windows Defender am 30. September 2019 gepatcht. Details lassen sich in <a href=\"https:\/\/web.archive.org\/web\/20200925214912\/https:\/\/sec-consult.com\/en\/blog\/advisories\/file-extension-spoofing-in-windows-defender-antivirus\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Beitrag<\/a> nachlesen. Ist nicht so wirklich was weltbewegendes, sondern eher interessante Fu\u00dfnote am Rande, welches Bugs in mancher Software schlummern. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft hat im September 2019 still und heimlich einen Bug im Windows Defender gepatcht. Denn der Virenw\u00e4chter konnte kein Right-to-left-Overright Unicode-Zeichen U+202E bearbeiten.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[2699,4328,4313],"class_list":["post-226052","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-defender","tag-sicherheit","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/226052","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=226052"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/226052\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=226052"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=226052"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=226052"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}