Sicherheitsforscher der Firma SafeBreach Labs haben auf der diesjährigen Black-Hat-Konferenz erläutert, was passieren würde, wenn Microsofts Anti-Viren-Lösung Defender durch manipulierte Signaturupdates vom Virenwächter zum Systemzerstörer mutiert.

SafeBreach Labs gelang es, Defender-Updates mit speziell angepassten Signaturen zu versehen. Dies konnten sie über eine von ihnen entdeckte Sicherheitslücke, Standardbenutzerrechten und einem selbst geschriebenen Proof-of-Concept-Tool namens "Defender-Pretender" erreichen. Das AV-Programm habe dann beispielsweise Schadcode durchgereicht oder konnte dazu veranlasst werden, essenzielle Systemdateien zu löschen.

Microsoft wurde über diesen Fund von den Sicherheitsforschern informiert. Bereits im April 2023 hatte Microsoft einen Patch gegen CVE-2023-24934 (CVSS-Score 6.2 "mittel") veröffentlicht. Bislang sind keine Angriffe über diese Lücke in freier Wildbahn bekannt.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE