In den letzten Tagen ging mal wieder in teils marktschreierischer Art und Weise eine angebliche Sicherheitslücke in Microsofts Windows Defender Antivirensoftware durch alle möglichen Kanäle. Da titeln Seiten von „peinlichen Sicherheitslücken“ oder verweisen darauf, dass das Problem schon seit acht Jahren bestünde und nun endlich entdeckt worden wäre.
Aber worum geht es überhaupt und was genau ist jetzt die Lücke? Beziehungsweise, gibt es überhaupt eine Lücke?
Ausnahmen
In jeder Antivirensoftware lassen sich Ausnahmen definieren. In den Einstellungen des Windows Defender unter Windows 10 und 11 lassen sich hier folgende Kategorien in der grafischen Oberfläche ausnehmen:
Einzelne Dateien können ausgenommen werden, wenn diese z.B. regelmäßig Fehlalarme produzieren. Ganze Ordner lassen sich ausnehmen, beispielsweise um diverse Programme für Sicherheitstests in einem Ordner nicht einzeln ausklammern zu müssen. Oder ganze Dateitypen wie DWG oder MDB lassen sich ausnehmen, wenn beispielsweise die Dateien eines CAD-Programmes keine aktiven Inhalte enthalten können und es daher nicht lohnt, diese zu scannen.
Diese Ausnahmen gelten für den Echtzeit-Scan, d.h. für die ständig im Hintergrund aktive Überwachungsfunktion, sowie für geplante Scans, die zeitgesteuert die Disk scannen.
Zudem lassen sich Prozesse ausnehmen. Ich kann beispielsweise die Programmdatei eines CAD-Programmes als Prozess ausnehmen. Damit ignoriert der Defender bei der Echtzeit-Überprüfung alle Dateien, die dieses CAD-Programm liest oder schreibt.
Standardmäßig sind auf einem Windows-PC keine Ausnahmen von Haus aus definiert. Die Liste ist also leer.
Auf einem Windows-Server definiert Microsoft verschiedene Standard-Ausnahmen, die in der Liste im Defender allerdings nicht auftauchen. Sie sind allerdings hier auf der Microsoft Webseite dokumentiert.
Gefahren bei Ausnahmen
Wenn ich eine Ausnahme für einen Ordner definiere, auf den ein normaler Benutzer Schreibzugriff hat, kann dieser normale Benutzer Dateien speichern und ausführen, ohne dass der Virenscanner eingreift.
Gebe ich, wie im Screenshot gezeigt, einfach den kompletten Dokumente-Ordner des Benutzers frei, ignoriert der Defender diesen Inhalt ab sofort. Ein normaler Nutzer könnte somit hier problemlos Schadsoftware abspeichern und ausführen.
Solch eine Ausnahme wäre also arg problematisch! Ausnahmen im Antivirenprogramm sollten immer nur für vertrauenswürdige Prozesse eingerichtet werden oder für Ordner, in denen eben nicht jeder einfach mit Benutzerrechten schreiben kann.
Im heimischen Umfeld ist das eher irrelevant, denn in den meisten Fällen ist die Person vor dem PC auch Administrator. Möglicherweise nicht mit dem selben Konto, aber in Person. Heißt, eine heruntergeladene Software wird halt meist eh mit administrativen Rechten installiert. Man muss demnach als Entwickler von Schadsoftware den Benutzer nur von der Installation überzeugen, aber keine Lücken finden.
In Firmen, wo der Defender zentral verwaltet wird, sollten Administratoren aber immer genau drauf achten, was für Ausnahmen definiert werden, um keine „Löcher“ zu schaffen, die ein Benutzer – oder möglicherweise eine Schadsoftware, die im Namen des Benutzers ausgeführt wird – ausnutzen könnte.
Ausnahmen sollten somit immer mit Vorsicht eingesetzt werden, denn sie können gefährliche Löcher schaffen.
Die „Sicherheitslücke“
Windows Defender speichert die Ausnahmen in der Registry.
Unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions finden sich die einzelnen Unterordner mit den jeweils gesetzten Ausnahmen.
Diese Liste in der Registry kann nur mit Administratorrechten bearbeitet werden. Allerdings kann man sie unter Windows 10 mit normalen Benutzerrechten lesen. Dies wird von manchen Sicherheitsforschern als Problem angesehen.
Nehmen wir also mal wieder den ganz normalen PC. Ein normaler Benutzer lädt eine bösartige Software herunter. Der Defender erkennt sie noch nicht, da sie brandneu ist und die entsprechenden Funktionen des Defenders zum Blocken unbekannter Software nicht genutzt werden. Diese Software wird ausgeführt vom Benutzer und läuft damit mit seinen Benutzerrechten.
Diese Software könnte nun aus der Registry auslesen, welche Ordner im Defender vom Scan ausgenommen wurden. Und falls dabei ein Ordner ist, der für den Benutzer beschreibbar ist, könnte sie sich dort hin kopieren und würde dort nicht weiter entdeckt werden.
Und da kommen wir zum Punkt: wer nun sagt, dass die öffentlich lesbare Liste der Ausnahmen die Lücke ist, der liegt falsch. Solange keine problematischen Ausnahmen definiert sind, kann die Liste der Ausnahmen problemlos von jedem eingesehen werden und es gibt überhaupt keine Gefahr. Erst wenn darauf eine problematische Ausnahme zu finden sein sollte, wird es gefährlich.
Die Lücke ist also eine möglicherweise vom Nutzer erstellte problematische Ausnahme und nicht, dass man diese auslesen kann!
Wenn ich die Sicherheit eines Systems mit unsicheren Ausnahmen im Virenscanner schwäche, hilft es gar nichts, wenn ich die Liste der Ausnahmen verstecke. Sie ist ja immer noch da.
Dieses Prinzip nennt sich „Security by Obscurity“ und es funktioniert nicht!
Man kann nicht Lücken in einem System schaffen und dann versuchen, diese zu kaschieren, indem man eventuellen Angreifern „ach, schau doch bitte einfach woanders hin“ zuruft.
Warum kocht das grad mal wieder hoch?
Nun, die Meinungen über die Relevanz einer solchen Funktion gehen schlichtweg auseinander. Manch einer mag einwenden, dass der Zugriff auf die Liste nur für Administratoren die Sache dann doch minimal erschwert. Und das ist ja auch nicht falsch. In Windows 11 hat Microsoft die Rechte auch tatsächlich geändert. Hier kommt man an die Liste nicht mehr als normaler Benutzer heran.
Insofern ist die Maßnahme, die Liste nicht öffentlich verfügbar zu machen, schon sinnvoll. Allerdings ist die öffentliche Ausnahmen-Liste selbst eben trotzdem keine Sicherheitslücke.
Trotzdem greifen natürlich grad IT-Journalisten das Thema gerne auf, denn solche Meldungen generieren auf den Webseiten natürlich Klicks und damit Werbeeinnahmen. Und da mittlerweile zum Glück viele Menschen von zusätzlich installierter „Sicherheitssoftware“ abgekommen sind, dürfte der Kreis der interessierten Leser nicht klein sein.
Und falls unter den Werbekunden der Webseiten Hersteller von zusätzlicher „Sicherheitssoftware“ sind, freut diese solch ein Bericht natürlich auch. Denn egal wie irrelevant die Problematik für den Normalnutzer am Ende ist, irgendwas bleibt doch im Hinterkopf hängen. „Windows Defender, da waren doch diese Lücken… ach ich kauf jetzt doch lieber eine andere Software!“
Ach ja…
All das, was oben steht, bezieht sich zwar auf den Defender, gilt aber natürlich genau so auch für jegliche anderen Antivirenprodukte. Auch dort lassen sich Ausnahmen definieren und auch dort sollte man genau aufpassen, was man ausnimmt und welche Lücken man damit möglicherweise aufreißt.
Und wer hat eigentlich schon mal geschaut, bei welchen Produkten die Liste mit den Ausnahmen möglicherweise für einen normalen Benutzer lesbar ist…? 😉
Ingos Blog 
Die größte Sicherheitslücke ist und bleibt eben wie immer der Benutzer. Teilweise absichtlich, aber viel häufiger unwissentlich, arbeiten die Benutzer aktiv gegen die vorhandene Sicherheit.