Sicherheitsforschern ist es gelungen, mittels spezieller SMB-Server-Konfiguration Schadcode am Windows Defender vorbeizuschmuggeln. Für einen erfolgreichen Angriff muss ein Opfer aber mitspielen.

Angreifer könnten eine Besonderheit des SMB-Protokolls im Umgang mit Dateiaufrufen durch entfernte Rechner missbrauchen, um den Windows Defender auszutricksen und Schadcode auszuführen. Die Vorgehensweise beschreiben Forscher der IT-Sicherheitsfirma CyberArk in einem Blogeintrag. Um die "Illusion Gap" getaufte Technik zur Ausführung zu bringen, platzieren sie zunächst eine saubere und eine mit Schadcode präparierte .exe-Datei auf einem speziell konfigurierten SMB-Server. Ob dieser für einen erfolgreichen Angriff Teil des lokalen Netzwerks sein muss, geht aus den Ausführungen des Forscherteams nicht hervor.



Abhängig vom anfragenden Prozess liefert der SMB Request Handler eine andere Datei aus.

Bild: CyberArk



Illusion Gap erfordert nicht nur eine spezielle Konfiguration des SMB-Servers, sondern auch Social Engineering: Ein potenzielles Opfer muss zunächst dazu gebracht werden, auf den Server zuzugreifen, um die schädliche Datei auszuführen. Das könnte etwa über einen präparierten Shortcut passieren.

Bevor der PE-Loader den Prozess auf dem Rechner des Opfers startet, klinkt sich standardmäßig der Windows Defender ein. Da ihm die Datei bislang unbekannt ist, fordert er vom Server eine Kopie zwecks Scan an. Das SMB-Protokoll bringt die Fähigkeit mit, zwischen beiden Dateiaufrufen zu unterscheiden: Das nutzen die Forscher mittels Serverkonfiguration aus. Sie jubeln dem Defender die "saubere" exe-Datei unter, um sein OK zum Start durch den Loader zu erhalten. Alternativ können sie den Windows Defender eigenen Angaben zufolge sogar dazu bringen, erst gar nicht zu scannen. In beiden Fällen schnappt die Illusion-Gap-Falle zu: Der Loader erhält im nächsten Schritt die zweite, schädliche Datei und führt diese ohne jegliches Einschreiten des Defenders auf dem angegriffenen System aus.

Microsoft sieht kein akutes Sicherheitsproblem

Laut Blogeintrag lassen sich mit Illusion Gap möglicherweise auch andere AV-Engines aushebeln; getestet wurde dies jedoch noch nicht. Die Forscher wiesen Microsoft auf ihren Fund hin. Das Unternehmen sieht in Illusion Gap zwar kein akutes Sicherheitsproblem, leitete den Sachverhalt aber dennoch an das zuständige Entwicklerteam weiter.

(ovw)