{"id":248578,"date":"2021-02-12T08:12:06","date_gmt":"2021-02-12T07:12:06","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=248578"},"modified":"2021-02-18T16:11:05","modified_gmt":"2021-02-18T15:11:05","slug":"microsoft-schliet-12-jahre-alte-schwachstelle-cve-2021-24092-im-defender-9-2-2020","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/02\/12\/microsoft-schliet-12-jahre-alte-schwachstelle-cve-2021-24092-im-defender-9-2-2020\/","title":{"rendered":"Microsoft schließt 12 Jahre alte Schwachstelle CVE-2021-24092 im Defender (9.2.2021)"},"content":{"rendered":"

[English<\/a>]Zum Patchday (9. Februar 2021) hat Microsoft auch die seit vermutlich mindestens 12 Jahren bestehende Schwachstelle CVE-2021-24092 im Defender beseitigt. Diese erm\u00f6glicht es einem Angreifer ein Privilegien-Erh\u00f6hung unter Windows, und dies ohne Zutun des Benutzers. Eine Ausnutzung ist aber nicht bekannt.<\/p>\n

<\/p>\n

\"\"Zum 9. Februar 2021 gab es ein Sicherheitsupdate f\u00fcr den Microsoft Defender (vormals Windows Defender) und von Microsoft gibt es die Beschreibung der Schwachstelle CVE-2021-24092<\/a>. Das Ganze betrifft laut Microsoft die Microsoft Malware Protection Engine-Versionen ab 1.1.17700.4, in der Version 1.1.17800.5 ist der Bug gefixt.<\/p>\n

Die Beschreibung zu CVE-2021-24092 (Microsoft Defender Elevation of Privilege Vulnerability<\/a>) von Microsoft liefert keine wirklichen Detail. Aber die Sicherheitsforscher von Sentinel LABS, die die Schwachstelle entdeckten, haben die Schwachstelle am 10. Februar 2021 im Beitrag CVE-2021-24092: 12 Years in Hiding \u2013 A Privilege Escalation Vulnerability in Windows Defender<\/a> beschrieben.<\/p>\n

Die Schwachstelle CVE-2021-24092<\/h2>\n

Der Defender ist seit Windows 7 (eigentlich seit Windows XP\/Vista) auf jedem System als Windows Defender tief im Betriebssystem integriert, wird jetzt aber als Microsoft Defender bezeichnet. Wir sprechen von mehr als 1 Milliarde Ger\u00e4ten, die durch die Schwachstelle gef\u00e4hrdet waren. Da die Microsoft Malware Protection Engine-Versionen auch bei anderen Produkten (Forefront, Microsoft Security Essentials etc.) zum Einsatz kommt, k\u00f6nnte die Schwachstelle dort auch vorgelegen haben (hier treffen die Sicherheitsforscher, die das entdeckt haben, aber keine Aussage).<\/p>\n

Bei CVE-2021-24092 handelt es sich eine schwerwiegende Sicherheitsl\u00fccke im Windows Defender, die es Angreifern erm\u00f6glicht, von einem Nicht-Administrator-Benutzerkonto aus die Rechte zu erweitern. Problem war der Treiber BTR.sys <\/em>(Boot Time Removal Tool), der als Teil des Bereinigungsprozesses innerhalb von Windows Defender f\u00fcr das L\u00f6schen von Dateisystem- und Registrierungsressourcen zust\u00e4ndig ist. Dies erm\u00f6glicht dem Defender solche Elemente, die von b\u00f6sartiger Software im Kernel-Modus erstellt wurden, zu entfernen.<\/p>\n

\"Defender-Schwachstelle
\nDefender-Schwachstelle CVE-2021-24092 in BTR.sys, Quelle Sentinel LABS<\/p>\n

Wird der Treiber geladen, erstellt er zun\u00e4chst ein Handle auf eine Datei, die das Protokoll der Operationen bei der Aktivierung enth\u00e4lt. Das Problem bei der Schwachstelle liegt in der Art und Weise, wie der Treiber das Handle zu dieser speziellen Datei erstellt (siehe Screenshot).<\/p>\n

Das Register r14d <\/em>wird mit xored auf Null gesetzt, so dass der Parameter CreateDisposition die Konstante FILE_SUPERSEDE erh\u00e4lt. FILE_SUPERSEDE wird als eine Transaktion betrachtet, die zuerst die Originaldatei l\u00f6scht und dann eine neue Datei erstellt. In der betreffenden Routine gibt es keinerlei \u00dcberpr\u00fcfung, ob es sich bei dieser Datei um eine Verkn\u00fcpfung handelt oder nicht. Das Erstellen eines (Hard-) Links auf<\/p>\n

C:\\Windows\\Temp\\BootClean.log<\/p>\n

w\u00fcrde es Angreifern also erm\u00f6glichen, beliebige Dateien zu \u00fcberschreiben. Die Sicherheitsforscher demonstrieren im Beitrag das Szenario, mit dem sich Benutzerrechte ohne Zutun des Benutzers erh\u00f6hen und Dateien mit Malware \u00fcberschreiben lassen. Bei einer Suche auf VirusTotal wurden von Microsoft signierte Versionen dieses Treibers aus dem Jahr 2009 gefunden, die den Fehler enthielten. Microsoft sieht die Ausnutzung der Schwachstelle als wenig wahrscheinlich an, hat den Defender aber am 9. Februar 2021 automatisch aktualisiert. Berichte \u00fcber eine Ausnutzung gibt es bisher nicht. (via<\/a>)<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Windows Server 2019 und Defender-Performance-Probleme<\/a>
\nMicrosoft Defender-Paket f\u00fcr Windows-Image-Updates<\/a>
\nMicrosoft Defender Download-Feature wieder weg \u2026<\/a>
\nSicherheitsbedenken wegen Microsoft Defender Download-Feature<\/a>
\nMicrosoft Defender blockiert Citrix-Dienste als Trojaner<\/a><\/p>\n

Windows Defender markiert CCleaner als PUP \u2013 Teil 1<\/a>
\nWindows Defender l\u00f6scht Windows Hosts-Datei \u2013 Teil 2<\/a>
\nDefender blockt hosts-Eintr\u00e4ge mit Umleitungen von Microsoft-Seiten \u2013 Teil 3<\/a><\/p>\n

Windows 10: Vergisst der Defender definierte Ausschl\u00fcsse?<\/a>
\nWindows 10: Ist der Defender GUI-Bug zu definierten Ausschl\u00fcssen gefixt?<\/a>
\nWindows 10: Fix f\u00fcr Defender GUI-Bug zu definierten Ausschl\u00fcssen<\/a><\/p>\n

Defender-Update KB4052623 killt Offline-Scan und mehr<\/a>
\nWindows 10: Defender \u00fcberspringt Elemente beim Scannen<\/a>
\nUpdate KB4052623: Microsoft fixt Defender Scan-Skip-Bug<\/a>
\nWindows 8.1 Pro: Defender-Alarm nach KB4580347<\/a>
\nWindows 10: Defender Application Guard statt Edge starten<\/a>
\nMicrosoft Defender ATP stuft Chrome-Update als PHP-Backdoor ein<\/a>
\nMicrosoft Defender Antimalware Platform: Juni 2020 Update KB4052623 wirft Error 0x8024200B<\/a>
\nSCEP\/MSE\/Defender: Weltweiter Ausfall von Microsofts Virenschutz durch Signatur 1.313.1638.0 (16.4.2020)<\/a>
\nWindows Defender konnte kein Unicode-Zeichen U+202E<\/a>
\nMicrosoft Defender ATP Credential-Theft bypassing?<\/a>
\nAnalyse: Nodersok-Malware \u2013 vom Defender nicht immer erkennbar<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Zum Patchday (9. Februar 2021) hat Microsoft auch die seit vermutlich mindestens 12 Jahren bestehende Schwachstelle CVE-2021-24092 im Defender beseitigt. Diese erm\u00f6glicht es einem Angreifer ein Privilegien-Erh\u00f6hung unter Windows, und dies ohne Zutun des Benutzers. Eine Ausnutzung ist aber nicht … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,161],"tags":[2699,4328,4315,4313],"class_list":["post-248578","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-virenschutz","tag-defender","tag-sicherheit","tag-update","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/248578","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=248578"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/248578\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=248578"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=248578"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=248578"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}