Die Sicherheitsforscher nehmen an, dass sie so lange unentdeckt bleiben konnte, weil der fehlerhafte Treiber nicht durchgehend auf der Festplatte gespeichert wird,

Foto: reuters

Eine gefährliche Sicherheitslücke bei der Antivirussoftware Microsoft Defender wurde nach einer Meldung von Sicherheitsforschern behoben. Sie war zwölf Jahre lang unentdeckt geblieben. Die Experten der Sicherheitsfirma SentinelOne fanden die Schwachstelle bei einem Treiber, der vom Microsoft Defender eingesetzt wird, um schadhafte Dateien in Quarantäne zu schieben und zeitweise mit einer unproblematischen, gleichnamigen Datei als Platzhalter zu ersetzen. Jedoch wurde diese nicht weiter geprüft. Für Angreifer wäre es daher möglich gewesen, strategisch einzugreifen und weitere Schadsoftware an der Platzhalter-Datei vorbei einzuschleusen.

Microsoft: "Hochriskante" Lücke

Besonders gefährlich an der Lücke ist, dass sie mit Microsofts Defender einen der populärsten Antivirenprogramme betrifft – denn schließlich wird dieser kostenlos zusammen mit Windows-Systemen ausgeliefert. Mittlerweile hat Microsoft die Schwachstelle behoben. Das Unternehmen war Mitte November darauf aufmerksam gemacht worden, ein Update wurde am Dienstag ausgespielt, wie "Wired" berichtet.

Microsoft schätzte sie als "hochriskant" ein, um die tatsächlich auszunutzen, müsste ein Angreifer aber entweder physisch oder aus der Distanz Zugriff auf das System zu haben.- Demnach müssten Hacker zunächst auf andere Exploits zurückgreifen. Die Lücke wäre demnach für einen Angreifer interessant gewesen, der sich durch andere Schwachstelle einen Zugang verschafft.

Die Sicherheitsforscher nehmen an, dass sie so lange unentdeckt bleiben konnte, weil der Treiber nicht durchgehend auf der Festplatte gespeichert wird, sondern in einem Windows-System namens "Dynamic Link" gespeichert und nur bei Bedarf geladen wird. (red, 14.2.2021)