Microsoft Defender lässt sich mit einem Komma austricksen
Nur ein zusätzliches Komma sorgt dafür, dass der Microsoft Defender die Ausführung von Schadcode nicht mehr zuverlässig erkennt.
Normalerweise sollte Microsofts hauseigene Sicherheitssoftware Microsoft Defender einen Missbrauch der rundll32.exe für die Ausführung von Schadcode erkennen und unterbinden. Tatsächlich lässt sich diese Erkennung aber unter Verwendung eines zusätzlichen Kommas bei der Befehlsausführung einfach umgehen, wie der Sicherheitsforscher John Page, auch bekannt unter dem Pseudonym hyp3rlinx, kürzlich herausfand.
Page wies schon im Jahr 2022 darauf hin, dass sich die Erkennung von Ausführungen des Typs "Trojan:Win32/Powessere.G", auch bekannt als "Powerliks", unter Einsatz eines zusätzlichen Path Traversals, also der Zeichenfolge "..\", überlisten lässt. Microsoft hat dieses Problem inzwischen behoben, so dass der Defender entsprechende Angriffsversuche unterbindet und den Nutzer davor warnt.
Wer unter Windows beispielsweise den Befehl rundll32.exe javascript:"\..\..\mshtml,RunHTMLApplication ";alert(666)
in eine Admin-Konsole eingibt, erhält die Meldung "Zugriff verweigert" sowie einen Hinweis vom Defender, dass eine Bedrohung gefunden wurde. "Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus", heißt es dann im Schutzverlauf der Virenschutzsoftware
Zusätzliches Komma lässt Defender verstummen
In einem neuen Sicherheitshinweis erklärt Page allerdings nun, dass sich Microsofts Abhilfemaßnahmen durch ein zusätzliches Komma im Befehl einfach umgehen lassen. Wer also rundll32.exe javascript:"\..\..\mshtml,,RunHTMLApplication ";alert(666)
in der Admin-Konsole ausführt, sieht anstelle der Defender-Warnung ein Pop-up mit dem Inhalt "666".
ANZEIGE
Anstelle des Alert-Befehls kann ein Angreifer in der Praxis unbemerkt Schadcode ausführen, ohne dass der Microsoft Defender dies blockiert. Wann Microsoft derartige Angriffe durch ein Update unterbindet, ist noch unklar. Auf einem Windows-10-System der Redaktion ließ sich die ungehinderte Ausführung des oben genannten Befehls zum Zeitpunkt der Entstehung dieses Artikels noch nachvollziehen.
Page selbst stuft den Schweregrad der Sicherheitslücke als hoch ein, das CERT-Bund hingegen mit einem CVSS von 5,3 lediglich als mittel. Grund dafür dürfte der Umstand sein, dass ein Angreifer das Zielsystem ohnehin längst infiltriert und die für die Ausführung seines Schadcodes erforderlichen Rechte erlangt haben muss, um die Schwachstelle ausnutzen zu können. Dennoch ist es spannend zu sehen, dass sich der Microsoft Defender durch ein einfaches zusätzliches Zeichen austricksen lässt.