Windows-Sicherheit: Bitdefender deckt drei EDR-Umgehungstechniken auf

Sicherheitsforscher zeigen, wie Angreifer mit Windows-Bind-Links Schutzsoftware wie AMSI und AppLocker umgehen können.

Sicherheitsforscher haben drei neuartige Angriffstechniken aufgedeckt, die selbst moderne Schutzsoftware aushebeln können.

Bitdefender Labs veröffentlichte am heutigen Mittwoch eine Analyse, die zeigt, wie Angreifer ein Windows-Feature missbrauchen können, um Endpoint Detection and Response (EDR)-Systeme zu umgehen. Die drei Methoden – File-Binding, Process-Binding und Silo-Binding – nutzen den Windows Bind Filter Treiber (bindflt.sys) aus, um Dateipfade umzuleiten und Sicherheitssensoren zu blenden.

Wie die Angriffe funktionieren

Die Techniken basieren auf sogenannten Windows Bind Links. Diese ermöglichen es, alternative Ansichten des Dateisystems zu erzeugen. Durch die Umleitung von Dateioperationen können Schadprogramme die Antimalware Scan Interface (AMSI), Windows AppLocker und Sysmon unbemerkt passieren. Auch die Windows-Firewall und Tools zum Diebstahl von Anmeldedaten ließen sich laut Bitdefender umgehen.

Betroffen sind Windows 10 ab Version RS4 sowie alle neueren Versionen, inklusive Windows 11. Die Angriffe erfordern allerdings Administratorrechte. Bitdefender-Forscher ziehen einen Vergleich zu BYOVD-Attacken (Bring Your Own Vulnerable Driver). Sobald ein Angreifer während einer Kompromittierung administrative Zugriffsrechte erlangt hat, bieten die Methoden eine robuste Möglichkeit, dauerhaft unentdeckt zu bleiben.

Microsoft sieht geringes Risiko – Bitdefender widerspricht

Anzeige

Angesichts der aktuellen Sicherheitsrisiken durch neue Angriffstechniken ist ein stabiles und korrekt konfiguriertes Betriebssystem für Nutzer wichtiger denn je. Dieser kostenlose Expertenreport zeigt Ihnen, wie Sie Windows 11 sicher installieren und typische Fehlerquellen beim Systemwechsel von vornherein ausschließen. Stressfreien Umstieg auf Windows 11 jetzt gratis sichern

Microsoft bewertet die Schwere der Bind-Link-Techniken als gering. Der Konzern verweist auf die notwendigen Administratorrechte als hohe Hürde für Angreifer. Bitdefender hingegen betont die Relevanz der Entdeckung – insbesondere die Silo-Binding-Methode. Sie erzeuge doppelte Dateisystemansichten, die Sicherheitsprodukte verwirren, welche auf Standard-Pfadüberwachung setzen.

Parallel dazu deckte Bitdefender eine weitere Schwachstelle auf: eine Rechteausweitung in Docker Desktop. Mitglieder der „docker-users“-Gruppe können demnach ihre Berechtigungen auf SYSTEM-Ebene anheben.

Weitere Sicherheitslücken erschüttern Windows

Die Veröffentlichung der Bind-Link-Techniken fällt in eine turbulente Zeit für Windows-Sicherheitsexperten. Erst gestern veröffentlichte ein unabhängiger Forscher einen Zero-Day-Exploit namens „LegacyHive“. Die Schwachstelle im Windows User Profile Service erlaubt es normalen Nutzern, die Registry-Hives anderer Anwender zu laden. Ein öffentlicher Proof-of-Concept erfordert zwar zusätzliche Anmeldedaten – die ursprüngliche Entdeckung zeigt jedoch, dass vollständig gepatchte Windows-Versionen weiterhin verwundbar sind.

Anzeige

Wenn das System trotz Sicherheits-Updates streikt oder Fehlermeldungen auftreten, ist schnelle Hilfe ohne teure Techniker gefragt. Erfahren Sie in diesem kostenlosen Ratgeber, wie Sie die 5 häufigsten Windows-Fehler mit wenigen Handgriffen selbst beheben können. Kostenlosen Erste-Hilfe-Report für Windows herunterladen

Der Patch-Day im Juli 2026 von Microsoft stellte einen Rekord auf: Zwischen 570 und 622 Schwachstellen wurden geschlossen, darunter mehrere Zero-Day-Lücken in SharePoint Server, ADFS und BitLocker. Branchenexperten führen die hohe Zahl auf neue KI-gestützte Scansysteme zurück, die zur Überprüfung des Software-Codes eingesetzt werden.

Ungelöstes Problem in Cursor IDE

Erst heute wurden zudem Sicherheitsbedenken zu einer ungepatchten Schwachstelle in der Cursor IDE bekannt. Die Sicherheitsfirma Mindgard warnt davor, dass das Öffnen manipulierter Repositorys eine nicht autorisierte Codeausführung auslösen kann. Der Fehler ist seit seiner Meldung Ende 2025 ungelöst.