Anzeige
Anzeige
News

Malware nutzt diesen Windows-Fehler seit sechs Jahren aus – was du jetzt wissen musst

Windows hat seit mehreren Jahren ein aktives ausgenutztes Sicherheitsproblem, wie Expert:innen herausgefunden haben. Die eigentlichen Sicherheitsmaßnahmen des Betriebssystems lassen sich mit einem einfachen Trick aushebeln. Dadurch hat Malware in einigen Fällen freie Bahn.

2 Min.
Artikel merken
Anzeige
Anzeige
Eine Sicherheitslücke in Windows ist bereits seit sechs Jahren offen. (Bild: Shutterstock/Alberto Garcia Guillen)

Die Sicherheitsforscher:innen von Elastic Security Labs haben eine Sicherheitslücke in Windows entdeckt. Diese steckt in den Programmen Smart App Control und Smartscreen. Das Sicherheits-Feature Smartscreen wurde erstmals bei Windows 8 eingesetzt. Später wurde es mit Windows 11 von Smart App Control abgelöst. Beide Programme sollen eigentlich Nutzer:innen vor unbekannten Dateien aus dem Netz beschützen.

Anzeige
Anzeige

Wie werden die Windows-Sicherheitsmaßnahmen ausgehebelt?

Um Windows-Nutzer:innen zu schützen, analysiert Smartscreen Dateien aus dem Netz, bevor diese ausgeführt werden. Dabei sucht das Programm nach einem „Mark of the Web“ (MotW). Dieses wird der Datei bereits beim Download hinzugefügt, wenn es für Windows Grund zur Annahme gibt, dass sie unsicher sein könnte. Erkennt Smartscreen das MotW, wird die Datei mit einer Liste von schädlichen Programmen im Netz abgeglichen. Gibt es Übereinstimmungen, kommt es zur Warnung. User:innen können diese zwar ignorieren, doch so verhindert Microsoft immerhin das unabsichtliche Ausführen von Schadsoftware.

Smart App Control funktioniert ähnlich. Allerdings ist das Programm an den Sicherheitsdiens der Cloud von Microsoft geknüpft und vergleicht die Datei mit einer Liste von erlaubten Apps und gültigen Signaturen im Netz. Findet Smart App Control keine dieser Hinweise, dass es sich um eine vertrauenswürdige Datei handelt, wird ebenfalls eine Sicherheitswarnung ausgespielt.

Anzeige
Anzeige

Diese können Angreifer:innen aber einfach umgehen, wie die Ergebnisse von Elastic Security Labs zeigen. Die Technik nennen die Expert:innen „LNK Stomping“. LNK sind die Verknüpfungen zu .exe-Dateien. Um diese zu „stompen“, also einzustampfen, hinterlassen die Angreifer:innen absichtlich Fehler im Dateipfad der Verknüpfung.

Anzeige
Anzeige

Sobald die Verknüpfung angeklickt wird, versucht Windows, diese zu reparieren. Oftmals reicht ein Leerzeichen oder ein Punkt in der Verknüpfung aus. So kann Windows etwa recht einfach „powershell.exe.“ reparieren und zur eigentlichen Datei finden. Allerdings wird dabei auch der Scan von Smart App Control und Smartscreen außer Kraft gesetzt. Es erfolgt keine Sicherheitswarnung an User:innen, selbst wenn die Datei hinter der Verknüpfung unseriös ist.

Über den Vergleich mit Uploads bei Virustotal konnten die Expert:innen schnell feststellen, dass der Bug bereits vor sechs Jahren aktiv ausgenutzt wurde. Wie oft das in der Zwischenzeit passiert ist, lässt sich nur schwer einschätzen. Der Fehler wurde mittlerweile an Microsoft gemeldet und wird möglicherweise in einem kommenden Update behoben.

Anzeige
Anzeige

Weitere Aushebelmethoden in Windows

Die Sicherheitsexpert:innen von Elastic Security Labs haben aber auch weitere Methoden an Microsoft gemeldet, über die Smartscreen und Smart App Control überlistet werden können. Allerdings lässt sich bei diesen Methoden nicht genau feststellen, ob sie bereits aktiv genutzt werden und wie lange das im Zweifel der Fall ist. Drei Methoden drehen sich um die Vertrauenswürdigkeit der jeweiligen Dateien.

Dabei spielen die schädlichen Programme den Sicherheitsmaßnahmen von Windows vor, dass sie Dateien wären, denen das System vertrauen kann. Sei es, indem sich die Programme an bestehende Apps anheften, ihren Code zwischen vertrauenswürdigem Code verstecken oder die Code-Zeilen manipulieren, um ein anderes Programm nachzuahmen.

Elastic Security Labs weist aber auch auf „Signed Malware“ hin, die Smartscreen und Smart App Control aushebeln kann. Hacker:innen können offizielle Zertifikate – beispielsweise von Unternehmen – nachahmen oder stehlen und diese auf Schadsoftware anwenden. Schon werden sie von den Sicherheitsmaßnahmen durchgewunken.

Die dümmsten Security-Patzer

Von sinnfreien Sicherheitsfragen bis zu unsicheren Passwörtern: Die dümmsten Security-Patzer Quelle: (Foto: Wirestock Creators / Shutterstock.com)
Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare

Community-Richtlinien

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren

Anzeige
Anzeige