Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
 
News Disclaimer

Microsoft Defender: Der Erkennung mit Komma entgehen

13.02.2024

zur Newsdatenbankhome

Der IT-Security-Forscher John Page hat zum zweiten Mal eine Sicherheitslücke im Windows Defender von Microsoft entdeckt. Er konnte damit eine Schutzkomponente gegen die Ausführung von Schadcode austricksen. John Page hatte bereits 2022 gezeigt, dass sich der Schutz mithilfe der rundll32.exe umgehen ließ.

Dazu hatte er bei der Referenzierung von mshtml beim Aufruf der rundll32.exe einen sogenannten Path Traversal missbraucht, was in diesem Fall ein zusätzlichen "..\" war. Damit wurde aus "rundll32.exe javascript:"\..\..\mshtml,RunHTMLApplication ";alert(1)" ein "rundll32.exe javascript:"\..\..\..\mshtml,RunHTMLApplication ";alert(666)". Diese Lücke hat Microsoft mittlerweile behoben.

Um den Windows Defender weiterhin auszutricksen, hat John Page hinter der Referenz von mshtml ein zusätzlichen Komma hinzugefügt. Dadurch wird aus der gezeigten Zeichenfolge ein "rundll32.exe javascript:"\..\..\mshtml,,RunHTMLApplication ";alert(666)" und schon wird die Ausführung von Schadcode nicht mehr unterbunden.

(jl, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89