Schwachstelle enthüllt: So einfach lässt sich der Defender unter Windows austricksen

Das Bundesamt für Sicherheit in der Informationstechnik in Bonn. (Bildquelle: IMAGO / Marc John)

Wer Windows nutzt, bekommt mit dem Defender eigentlich einen soliden Schutz mitgeliefert. Doch das Microsoft-Tool kann leicht umgangen werden.

Laut AV-TEST gehörte der Microsoft Defender im Jahr 2023 zu den besten Virenschutz-Anwendungen. Im Test erzielte die Enterprise-Version in Sachen Geschwindigkeit, Benutzbarkeit und Schutzwirkung Bestwerte. Sicherheitsexperte John Page, der unter dem Pseudonym hyp3rlinx firmiert, konnte aber ein einfaches Mittel finden, mit dem der Schutz des Microsoft Defender problemlos ausgehebelt werden kann.

Wenn ihr euch nicht mit Windows-Sicherheitslücken herumplagen wollt, ist vielleicht der Wechsel zu einem Mac sinnvoll. Auf den Geschmack bringt euch womöglich unser Video mit dem kultigen Apple-Werbespot von Regie-Legende Ridley Scott.

Microsoft Defender: Ein einfacher Trick genügt

Tatsächlich machte Page schon 2022 auf eine Lücke in Microsofts Antiviren-Programm aufmerksam. Demnach fand der Security-Forscher eine Sicherheitslücke, die mit einem Path Traversal leicht ausgenutzt werden konnte – also lediglich mit der Zeichenfolge „.. “. Diesen Fehler hat der Redmonder IT-Konzern allerdings schon behoben, doch ein aktuellerer Sicherheitshinweis von Page deutet auf eine weitere Schwachstelle hin.

Normalerweise schützt der Microsoft Defender das wichtige Dienstprogramm „rundll32.exe“ vor Zugriffen von außen. Der Sicherheitsforscher konnte aber jüngst eine Lücke ausmachen, die Angreifer selbst ohne tiefgreifende Hacking-Kenntnisse ausnutzen können – lediglich mit einem Komma. Tippt man als User den Befehl rundll32.exe javascript:”….mshtml,RunHTMLApplication “;alert(666) in die Konsole, wird der Zugriff verweigert. Mit einem oder mehreren zusätzlichen Kommata in diesem Befehl kann aber der Zugriff auf das gesamte lokale Netzwerk erfolgen. Wird also beispielsweise rundll32.exe javascript:”….mshtml,,RunHTMLApplication “;alert(666) in die Konsole getippt, wird keine Warnung ausgegeben, sondern „666“ – womit dann Schadcode ausgeführt werden kann.

Nicht ganz so ernst geht es in der Bilderstrecke zu:

Wie gefährlich ist die Lücke?

John Page bewertet die Schwachstelle mit einem hohen Schweregrad, aber auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) spricht eine Warnung aus. Allerdings bezeichnet die Behörde die Lücke lediglich als „mittelschwer“. Wie weit Microsoft mit dem Schließen der Lücke ist, lässt sich zum gegenwärtigen Zeitpunkt nicht sagen. Das Unternehmen ist aber bekannt dafür, den hauseigenen Defender regelmäßig mit Updates und Patches zu versorgen. Auch wenn Microsoft im Oktober 2023 noch versichert hatte, dass die Security-Anwendung Angriffe von Menschen automatisch erkennt und abwehrt – eine Blamage ist diese Lücke für das Unternehmen dennoch.

Wie viel Wert ihr auf IT-Sicherheit legt, findet ihr im Quiz heraus:

Online-Sicherheit und Privatsphäre: Wichtig oder nicht? (Umfrage)

Frage 1 von 14

Privatsphäre und Sicherheit im Netz sind dir…