{"id":262495,"date":"2022-02-11T11:36:16","date_gmt":"2022-02-11T10:36:16","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262495"},"modified":"2022-02-11T12:04:37","modified_gmt":"2022-02-11T11:04:37","slug":"microsoft-fixt-wohl-heimlich-schwachstelle-im-defender-unter-windows","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/02\/11\/microsoft-fixt-wohl-heimlich-schwachstelle-im-defender-unter-windows\/","title":{"rendered":"Microsoft fixt wohl heimlich Schwachstelle im Defender unter Windows"},"content":{"rendered":"

\"Windows\"[English<\/a>]Der Microsoft Defender ist vor einiger Zeit durch eine Schwachstelle in Windows aufgefallen, \u00fcber die Schadsoftware die vom Virenschutz ausgesparten Ordner abfragen konnte. Es sieht nun so aus, als ob Microsoft diese Schwachstelle stillschweigend korrigiert hat, denn zum Zugriff auf diese Informationen sind nun unter Windows Administratorberechtigungen erforderlich. Allerdings ist es wohl noch nicht auf allen Windows-Systemen korrigiert und es ist auch unklar, ob der Fix per Windows Update (Februar 2022 Patchday) oder \u00fcber ein Update des Defender unter Windows erfolgt.<\/p>\n

<\/p>\n

Die Schwachstelle im Defender<\/h2>\n

\"\"Ich hatte es zwar mitbekommen, aber nicht separat im Blog aufgegriffen. Der Microsoft Defender hatte eine Schwachstelle, \u00fcber die Schadsoftware unter Windows die vom Virenschutz ausgesparten Ordner mit Standard-Benutzerberechtigungen abfragen konnte.<\/p>\n

Der Hintergrund: Im Defender k\u00f6nnen Ordner angegeben werden, die von einem Virenscan ausgenommen werden sollen. Sicherheitsforschern ist dann aufgefallen<\/a>, dass die Liste der vom Microsoft Defender-Scan ausgeschlossenen Orte ungesch\u00fctzt ist und jeder lokale Benutzer darauf zugreifen kann. Diese Pfade werden in der Registrierung unter folgendem Schl\u00fcssel verwaltet:<\/p>\n

HKLM\\Software\\Microsoft\\Windows Defender\\Exclusions<\/p>\n

Durch ungeschickte Rechtevergaben konnten lokale Benutzer (Jeder), unabh\u00e4ngig von ihren Berechtigungen, die Registrierungseintr\u00e4ge des Defender abfragen.<\/p>\n

\"Microsoft<\/a><\/p>\n

Dies erm\u00f6glichte die Abfrage der Pfade, die Microsoft Defender (auf Grund von Administratorvorgaben) nicht auf Malware oder gef\u00e4hrliche Dateien pr\u00fcfen darf. Betroffen war Windows 10 (in den aktuellen Versionen 21H1 und 21H2), nicht jedoch Windows 11. Die Kollegen von Bleeping Computer hatte dies Mitte Januar 2022 in diesem Artikel<\/a> aufgegriffen und mehr Details ver\u00f6ffentlicht. Die Schwachstelle soll laut diesem Tweet<\/a> seit acht Jahren bestehen.<\/p>\n

Microsoft passt Berechtigungen an<\/h2>\n

Im Rahmen ungenannter Updates scheint Microsoft die oben skizzierte Schwachstelle im Defender unter Windows stillschweigend durch Anpassender Berechtigungen beseitigt zu haben. Der nachfolgende Tweet<\/a> eines Sicherheitsforschers spricht den Sachverhalt an. Es sind pl\u00f6tzlich Administratorberechtigungen erforderlich, um auf die Registrierungseintr\u00e4ge zuzugreifen.<\/p>\n

\"Defender<\/a><\/p>\n

Es sieht so aus, als ob die Sicherheitsupdates vom 8. Februar 2022 diese Schwachstelle beseitigt haben. Sicherheitsforscher Antonio Cocomazzi best\u00e4tigt diesen Fix in seinem Tweet<\/a>. Sicherheitsforscher Will Dormann schreibt<\/a> aber, dass dies bei ihm nicht auf allen Maschinen gefixt worden sei.<\/p>\n

\"Defender<\/a><\/p>\n

Obige Tweets<\/a> spiegeln die Diskussion wieder. Mir ist aktuell unklar, ob die \u00c4nderungen per Windows Update oder \u00fcber Updates der Scan Engine des Defender unter Windows umgesetzt werden. Die Kollegen von Bleeping Computer haben das Ganze<\/a> in diesem Artikel aufgegriffen und die Informationen zusammen gezogen.
\n\u00c4hnliche Artikel:<\/strong>
\nWindows Defender: Fixes, Probleme und Log4j-Scanner-Fehlalarme<\/a>
\nWindows Server 2019: VM wirft BSOD wegen Windows Defender<\/a>
\nWindows Defender bem\u00e4ngelt Windows Hosts-Datei \u2013 Teil 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der Microsoft Defender ist vor einiger Zeit durch eine Schwachstelle in Windows aufgefallen, \u00fcber die Schadsoftware die vom Virenschutz ausgesparten Ordner abfragen konnte. Es sieht nun so aus, als ob Microsoft diese Schwachstelle stillschweigend korrigiert hat, denn zum Zugriff auf … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,301,3694],"tags":[2699,4328,4313],"class_list":["post-262495","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows","category-windows-10","tag-defender","tag-sicherheit","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262495","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=262495"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262495\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=262495"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=262495"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=262495"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}