Drücken Sie „Enter“, um den Inhalte zu überspringen

Zero-Day-Lücke im Microsoft Defender

Der Microsoft Defender ist in den vergangenen Jahren immer besser geworden. Momentan enthält er jedoch eine gefährliche Zero-Day-Lücke.

In Tests des Magdeburger AV-Test Instituts bekommt der Microsoft Defender mittlerweile regelmäßig 18 von 18 möglichen Punkten. Anders als andere kostenlose Virenscanner nervt er auch nicht mit Werbung. Nun muss Microsoft jedoch eine Zero-Day-Lücke in dem Programm schließen, die dem Vernehmen nach bereits aktiv von Kriminellen ausgenutzt wird.

Gravierende Schwachstelle

Viele Details hat Microsoft jedoch noch nicht über den Bug CVE-2021-1647 veröffentlicht. Laut Zdnet soll es ausreichen, eine manipulierte Datei auf einem System zu öffnen, auf dem der Microsoft Defender installiert ist, um fremden Schadcode auszuführen.

Eventuell genügt es aber bereits, dem Opfer eine manipulierte Datei einfach nur zuzusenden. Als permanent im Hintergrund aktiver Virenwächter greift Microsoft Defender dann darauf zu, um die Datei zu prüfen. Dabei wird die Schwachstelle möglicherweise bereits ausgenutzt, sagte Kevin Breen, Director of Research bei Immersive Labs, dem Sicherheitsexperten Brian Krebs. Ein Öffnen der Datei durch den Empfänger wäre dann nicht nötig, um eine Infektion auszulösen.

Wenn die Vermutung von Kevin Breen zutrifft, handelt es sich tatsächlich um eine sehr schwerwiegende Sicherheitslücke. Laut Microsoft existieren derzeit nur Exploits auf dem Proof of Concepts-Level. Sie dürften also noch nicht sehr ausgereift sein. Das kann sich aber schnell ändern.

Januar-Patchday

Insgesamt schließt Microsoft am Januar-Patchday mehr als 80 Sicherheitslücken. Da der Microsoft Defender aber außerhalb dieses Patch-Zykluses laufend aktualisiert wird, dürfte die Schwachstelle auf den meisten Endanwender-Systemen bereits geschlossen sein. Die letzte Version der Microsoft Malware Protection Engine, die den Bug noch enthält, ist 1.1.17600.5.

Version der Microsoft Malware Protection Engine prüfen

Auf einem Testrechner, der das aktuelle Patchday-Update noch nicht erhalten hat, lautet die Modulversion dementsprechend bereits 1.1.17700.4. Die Zero-Day-Lücke wurde hier also schon von Microsoft geschlossen. Die aktuelle Modulversion auf Ihrem Computer können Sie über „Start, Einstellungen, Update und Sicherheit, Windows-Sicherheit, Viren- & Bedrohungsschutz“ leicht selbst überprüfen. Klicken Sie dort dann unten links auf „Einstellungen“ und danach auf „Info“.

Wenn die Versionsnummer hinter „Modulversion“ höher ist als 1.1.17600.5 wurde die Zero-Day-Lücke auf Ihrem System bereits automatisch durch Microsoft geschlossen.

Gib den ersten Kommentar ab

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.