Ransomware-Schutz in Windows 10 lässt sich leicht umgehen

Ein spanischer Sicherheitsforscher hat eine Sicherheitsfunktion von Windows Defender ausgetrickst, die unter Windows 10 die Folgen einer Infektion mit Ransomware mildern soll. Der “Überwachte Ordnerzugriff” soll verhindern, dass nicht vertrauenswürdige Anwendungen die Inhalte bestimmter Ordner verändern – also auch nicht verschlüsseln. Dies ist jedoch auf vielen Windows-10-Rechnern mit Bordmitteln und ohne Ausnutzung einer zusätzlichen Sicherheitslücke möglich.

Windows Defender sperrt, sobald der überwachte Ordnerzugriff aktiviert wurde, Systemordner wie Dokumente, Favoriten, Fotos, Videos und Desktop. Nutzer können auch eigene Ordner zu hinzufügen. Außerdem ist es möglich, den Ordnerzugriff für bestimmte Anwendungen freizugeben. Microsoft zufolge ist dies jedoch nur in Ausnahmefällen notwendig, da vom Betriebssystem als unbedenklich eingestufte Anwendungen “immer zulässig” sind.

Dazu gehören auch die Office-Anwendungen. Yago Jesus vom spanischen Sicherheitsanbieter Security By Default nutzt Microsoft Word, um per Python-Code Word-Dateien im Ordner “Dokumente” zu öffnen und verschlüsselt mit einem von ihm vorgegebenen Passwort zu speichern. Der Vorgang erfolgt zudem im Hintergrund und unsichtbar für den Nutzer.

Der Code nutzt die Windows-Funktion Objekt Linking and Embedding (OLE). “Mit dieser Technik könnte ein Angreifer einen Ransomware-Angriff ausführen und den Schutz von Windows Defender umgehen und die native Verschlüsselungsfunktion von Microsoft Office aktivieren”, schreibt Jesus in einem Blogeintrag.

Der überwachte Ordnerzugriff lässt sich im Windows Defender Security Center in den Einstellungen für den Viren- und Bedrohungsschutz aktivieren (Screenshot: ZDNet.de).
Darüber hinaus sei es auch möglich, per Python-Code den Inhalt einer Office-Datei in eine neue Datei in einem ungeschützten Ordner zu kopieren und anschließend den Inhalt der ursprünglichen Datei durch eine Lösegeldforderung zu ersetzen. Die neue Datei mit dem Inhalt des Nutzers ließe sich dann wie gewohnt durch die Ransomware verschlüsseln. Office-Anwendungen seien zudem in der Lage, PDF-Dateien, Bilder und andere Inhalte zu bearbeiten.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Microsoft teilte dem Forscher Ende Januar mit, es stufe die Schwachstelle nicht als Sicherheitsanfälligkeit ein. Defender Exploit Guard sei nicht als Sicherheitshürde gedacht, sondern nur ein Tool, dass eine Funktion bereitstelle, die einen zusätzlichen Ordnerschutz biete. Microsoft werde aber die Funktion zur Überwachung von Ordnerzugriffen überarbeiten.

“Das bedeutet also, dass Microsoft die Schwachstelle beheben wird, ohne einzuräumen, dass sie als Mitigation Bypass eingestuft werden sollte”, kommentierte der Forscher. Microsoft selbst beschreibt den überwachten Ordnerzugriff als Schutz für “Ihre Dateien und Ordner vor nicht autorisierten Änderungen durch schädliche Anwendungen”. In einem Blogeintrag von Oktober 2017 wird der überwachte Ordnerzugriff zudem zusammen mit anderen Neuerungen des Windows 10 Fall Creators Update erwähnt, die “Geräte vor einer Vielzahl von Angriffsvektoren schützen und Verhalten blockieren, das gewöhnlich bei Malware-Angriffen benutzt wird”.

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago