Microsoft Defender enthält eine Funktion namens „SmartScreen“, die verhindern soll, dass auf einem System Schadsoftware ausgeführt wird. Solange es darum geht, Nutzer:innen vor dem versehentlichen Herunterladen und Starten von Schadsoftware zu schützen, funktioniert das grundsätzlich auch recht zuverlässig. Für Angreifer:innen mit Zugang zum System gibt es jedoch einen überraschend einfachen Weg, diese Schutzmaßnahme zu umgehen. Und mit diesem Trick ist SmartScreen dann auf einmal gar nicht mehr so smart. Der simple Clou: Man trennt das System einfach vom Internet.
SmartScreen funktioniert nämlich, indem es bestimmte Merkmale der auszuführenden Datei an einen Microsoft Server sendet und dort mit bekannten Informationen zu schädlicher Software abgleicht.
Genau hier liegt allerdings das Problem: Ohne Internetverbindung kann diese Prüfung nicht stattfinden.
Das naheliegende und sicherheitstechnisch sinnvolle Verhalten, wenn keine Internet-Verbindung zur Verfügung steht, wäre ein sogenanntes „gefahrloses Versagen“: Die Ausführung unbekannter Software sollte blockiert bleiben, bis ein Abgleich mit der Datenbank für bösartige Software möglich ist. Dies ist jedoch nicht der Fall: Sobald keine Internetverbindung mehr besteht, erscheint plötzlich eine Option, die bei aktiver Verbindung gar nicht angeboten wird: Man darf die smarte Prüfung einfach überspringen und beliebige Software ausführen.
Für unsere Client-Pentester:innen und das Red Team ist dieses Verhalten natürlich ein Geschenk, weil sich Schutzmechanismen damit vergleichsweise leicht umgehen lassen. Für Administrator:innen von Windows-Netzwerken bedeutet es dagegen eine unnötige Schwachstelle. Microsoft ist das Verhalten bekannt. Nach unserem aktuellen Kenntnisstand ist jedoch keine Änderung hin zu einem sicheren Fehlerverhalten vorgesehen. Schade.
Flora Schäfer