Microsofts Februar-Updates beheben 55 Schwachstellen, darunter mehrere bereits aktiv ausgenutzte Zero-Day-Lücken. Sie zeigen, wie Angreifer fundamentale Schutzmechanismen wie die Antimalware Scan Interface (AMSI) gezielt ausschalten.
Aktive Zero-Day-Lücken erfordern sofortiges Handeln
Im Fokus steht CVE-2026-21510, eine schwerwiegende Lücke in der Windows Shell. Sie ermöglicht es Angreifern, Sicherheitsabfragen von Windows SmartScreen zu unterdrücken. Ein Nutzer müsste dazu nur einen manipulierten Link oder eine spezielle Verknüpfungsdatei öffnen. Die eigentlich warnenden Dialoge bleiben stumm – ein gefährliches Einfallstor für schädliche Skripte und dateilose Malware.
Zwei weitere gepatchte Sicherheitsumgehungen betreffen das MSHTML-Framework (CVE-2026-21513) und Microsoft Word (CVE-2026-21514). Alle drei Lücken verdeutlichen eine gängige Angriffsstrategie: Per Social Engineering wird eine erste Hürde überwunden, bevor tieferliegende Schutzschichten wie AMSI ins Visier genommen werden.
AMSI: Der Wächter im Speicher wird gezielt angegriffen
Die Antimalware Scan Interface (AMSI) ist eine zentrale Säule der Windows-Sicherheit. Sie fungiert als Schnittstelle, über die Anwendungen wie PowerShell oder Office Makros verdächtigen Code zur Prüfung an die installierte Sicherheitssoftware übergeben. Der Clou: Der Inhalt wird gescannt, bevor er ausgeführt wird – eine entscheidende Waffe gegen verschleierte Angriffe direkt aus dem Arbeitsspeicher.
Doch genau dieser Wächter ist zum Hauptziel geworden. Angreifer entwickeln ständig neue Techniken, um AMSI zu umgehen oder zu deaktivieren. Das ist ein klassisches Katz-und-Maus-Spiel.
So versuchen Hacker, AMSI auszutricksen
Die Methoden der Angreifer zielen alle darauf ab, die Scans von vornherein zu verhindern:
- Speicher-Patching: Angreifer suchen im Prozessspeicher nach AMSI-Funktionen wie
AmsiScanBufferund manipulieren sie. Das Ergebnis: Die Funktion meldet immer „unbedenklich“, egal was gescannt wird. - Verschleierung: Durch extreme Verschleierung des Schadcodes wird die signaturbasierte Erkennung von AMSI unwirksam.
- Reflection-Techniken: Mit .NET-Funktionen lassen sich bösartige Bibliotheken so in den Speicher laden, dass AMSI sie nicht bemerkt.
- Registry-Manipulation: In einigen Fällen wird AMSI komplett deaktiviert, indem die Registrierungseinträge der Sicherheitssoftware gelöscht oder geändert werden.
Patch-Management ist nur die erste Verteidigungslinie
Die aktuellen Patches sind dringend notwendig, aber keine Allheilmittel. Die Angriffe zeigen: Kein einzelnes Sicherheitsfeature ist unüberwindbar. Für Unternehmen bedeutet das, auf eine tiefgestaffelte Verteidigung (Defense-in-Depth) zu setzen.
Neben dem schnellen Einspielen aller Updates sind weitere Maßnahmen entscheidend. Moderne Endpoint Detection and Response (EDR)-Lösungen können auch dann verdächtiges Verhalten erkennen, wenn AMSI umgangen wurde. Die Durchsetzung des Prinzips der geringsten Rechte, die Einschränkung von Skript-Ausführung sowie eine verstärkte PowerShell-Protokollierung schaffen zusätzliche Sicherheitsebenen und wertvolle Spuren für die Analyse.
