![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Brass zwischen Sicherheitsforscher Will Dormann und Microsoft? Dormann hatte die Tage einen Post auf Mastodon ver\u00f6ffentlicht, dass die Microsoft Vulnerable Driver Blocklist und WDAC auf drei unterschiedliche Arten scheitern, Windows zu sch\u00fctzen. Und als er ein Problem an Microsoft melden wollte, hie\u00df es: \"Schauen wir nur an, wenn ein Video mitgeliefert wird\". Ich kippe mal die beiden losen F\u00e4den hier im Blog ein.<\/p>\n
<\/p>\n
Microsoft hat Windows verschiedene Schutzfunktionen spendiert, um auf Sicherheitsbedrohungen reagieren zu k\u00f6nnen. Windows Defender Application Control (WDAC) soll sicherstellen, dass Administratoren einschr\u00e4nken k\u00f6nnen, welche Anwendungen die Anwender ausf\u00fchren d\u00fcrfen oder welcher Code\u00a0Systemkern (Kernel) ausgef\u00fchrt werden darf.<\/p>\n
Die Windows Driver-Blocklist legt fest, dass bestimmte Treiber, die als b\u00f6sartig gelten, nicht in Windows geladen werden d\u00fcrfen. Bei diesem Feature f\u00e4llt mir immer sofort ein, dass Microsoft eingestehen musste, dass das jahrelang nicht funktioniert hat (siehe meinen Beitrag\u00a0Microsoft best\u00e4tigt: Windows patzt bei der Erkennung gef\u00e4hrlicher Treiber \u2013 Blocklisten nicht verteilt<\/a>).<\/p>\n Ich bin vorige Woche auf nachfolgenden Post<\/a> von Sicherheitsexperte Will Dormann gesto\u00dfen, den ich bisher hier im Blog noch nicht thematisieren konnte.<\/p>\n Dormann f\u00fchrt aus, dass sowohl die Microsoft Vulnerable Driver Blocklist als auch Windows Defender Application Control (WDAC) auf drei verschiedene Arten scheitern, Windows zu sch\u00fctzen.<\/p>\n Er widerlegt damit die Behauptungen Microsoft, was die Schutzmechanismen tun sollen. F\u00fcr interessierte Leser: Dormann hat seine Ausf\u00fchrungen in diesem Post<\/a> auf Mastodon ausf\u00fchrlicher dargelegt.<\/p>\n Unter dem Strich weist Dormann darauf hin, dass die von Microsoft propagierten Windows-Schutzl\u00f6sungen ziemlich \"halbseiden\" seien und man sich nicht darauf verlassen solle. Er hat seine Erkenntnisse nat\u00fcrlich an Microsoft (MSRC) gemeldet.<\/p>\n Das Microsoft Security Response Center (MSRC) behauptet aber, dass keines der von ihm gemeldeten Probleme Sicherheitsl\u00fccken (CWE-693<\/a>) seien, also auch nicht behoben werden. Seine Schlussfolgerung: Wenn Nutzer oder Administratoren sich auf die Schutzfunktionen von Windows verlassen, m\u00fcssen Sie damit rechnen, entt\u00e4uscht zu werden.<\/p>\n Aber die Geschichte geht noch weiter, denn als Dormann seine Erkenntnisse an Microsoft meldete, bekam er die R\u00fcckmeldung \"ohne Video, was dies demonstriert, werden die Meldungen nicht bearbeitet\" (O-Ton der MSRC-Antwort \"As requested, please provide clear video POC (proof of concept) on how the said vulnerability is being exploited? We are unable to make any progress without that. It will be highly appreciated.\". Dormann hat das in obigem Mastodon-Post<\/a> thematisiert und schreibt:<\/p>\n Ich verstehe, dass Kinder heutzutage nichts verstehen k\u00f6nnen, was nicht in TikTok vorkommt. Aber dass die MSRC einen klar formulierten Schwachstellenbericht ohne ein dazugeh\u00f6riges Video nicht akzeptiert…<\/p><\/blockquote>\n Er hat dann ein 15:00 Minuten langes Video mit Techno-Beat als Audio unterlegt, in dem er die \"Schwachstellen\" zeigt. War an mir vorbei gegangen, aber The Register hat es hier<\/a> aufgegriffen<\/a>. Das Medium schreibt, dass Dormann aus Frustration \u00fcber Microsofts Forderung, ein Video zu erzeugen, was nur zeigte, wie er Befehle eintippte, die bereits auf den Screenshots zu sehen waren, und die Eingabetaste in CMD dr\u00fcckte, auf besondere Art reagierte. Er erstellte ein Video, das mit b\u00f6swilliger Compliance gespickt war.<\/p>\n Das 15 Minuten lange Video zeigt bei der Vier-Sekunden-Marke einen Screenshot aus Zoolander, in dem der Protagonist das \"Center for Kids Who Can't Read Good\" vorstellt. Dann folgen \u00fcber 14 Minuten dr\u00f6ger Techno-Sound mit Screenshots, die Definitionen, Tastatureingaben und wenig erhellendes zeigen. Dormann zeigt sich zwar verst\u00e4ndnisvoll, dass \"Leute, die Routinearbeit machen, meist feste Arbeitsabl\u00e4ufe haben, die sie mit gemeinsamen n\u00e4chsten Schritten durchlaufen\".<\/p>\n \"Aber ein Video anzufordern, das (zus\u00e4tzlich zu meinen bereits eingereichten Screenshots) den Vorgang des Tippens und die Windows-Antwort auf dem Bildschirm einf\u00e4ngt, was bringt das jetzt noch?\" fragt er. Und die Kr\u00f6nung des Ganzen? Als er das Video bei Microsoft hochladen wollte, schlug der Vorgang \u00fcber das Microsoft-Portal aufgrund eines 403-Fehlers fehl. Er hat es das Proof of Concept-Video dann beim Konkurrenten Google auf YouTube<\/a> hochgeladen. Es ist immer wieder sch\u00f6n, wie Microsoft sich in den Fu\u00df schie\u00dft.<\/p>\n Bei Microsoft ist Generation Video seit Jahren aktiv. Ich erinnere mich, dass die MVPs f\u00fcr Windows Consumer 2016 zu Windows Insider MVPs umgebrandet wurden. 2019 und 2020 forderten die Microsoft-Mitarbeiter, die f\u00fcr die Vergabe der MVP-Auszeichnung verantwortlich waren, von den MVPs ein \"Bewerbungsvideo\", warum eine Person besonders geeignet sei. Nur f\u00fcr's Protokoll: Man musste dar\u00fcber hinaus schon belegen, was man \u00fcber die letzten 12 Monate gemacht hat.<\/p>\n Ich habe mich jeweils geweigert, ein Video zu erstellen und nur auf meine B\u00fccher, meine MS-Answers-Aktivit\u00e4ten als Community-Moderator und meine IT-Blogs verwiesen. Da ich im deutschen Blog sehr kritisch \u00fcber Microsoft berichtete, hatte ich 2020 schon nicht mehr mit dem MVP gerechnet. Zur Bewerbung 2021 schrieb ich, dass die Verantwortlichen kein Video von mir bek\u00e4men. Entweder w\u00fcrden meine aufgelisteten Aktivit\u00e4ten reichen, oder sie m\u00f6gen sich den MVP auf dem Klo hinter den Spiegel stecken. Hat dann auch geklappt, 2021 war ich kein Windows Insider MVP mehr.<\/p><\/blockquote>\n Oh Microsoft, was w\u00e4ren wir nur ohne deine Volten – das Leben w\u00e4re echt langweilig.<\/p>\n","protected":false},"excerpt":{"rendered":" Brass zwischen Sicherheitsforscher Will Dormann und Microsoft? Dormann hatte die Tage einen Post auf Mastodon ver\u00f6ffentlicht, dass die Microsoft Vulnerable Driver Blocklist und WDAC auf drei unterschiedliche Arten scheitern, Windows zu sch\u00fctzen. Und als er ein Problem an Microsoft melden … Weiterlesen Dormann zum Windows-Schutz (WDAC, Driver-Blocklist)<\/h2>\n
![\"WDAC](\"https:\/\/i.postimg.cc\/63Sy6scD\/image.png\")
<\/a><\/p>\n\n
Zweifacher Fail des MSRC; man will Video<\/h2>\n
![\"Dormann](\"https:\/\/i.postimg.cc\/wjtvF589\/image.png\")
<\/a><\/p>\n