Microsoft behob eine 12 Jahre alte Fehleranfälligkeit für Rechteausweitung in Windows Defender

[post-views]
Februar 18, 2021 · 3 min zu lesen
Microsoft behob eine 12 Jahre alte Fehleranfälligkeit für Rechteausweitung in Windows Defender

Im Februar 2021 behob Microsoft einen Privilegien-Eskalationsfehler in Microsoft Defender Antivirus (früher Windows Defender), der Bedrohungsakteuren die Möglichkeit bieten könnte, Administratorrechte auf dem anfälligen Host zu erlangen und vorinstallierte Sicherheitsprodukte zu deaktivieren. SentinelOne-Experten, die das Problem aufdeckten, berichten dass der Fehler bereits 2009 eingeführt wurde und über 12 Jahre unentdeckt blieb.

Beschreibung der Windows Defender-Sicherheitslücke

Das Problem (CVE-2021-24092) resultiert aus einer Fehlkonfiguration im Zusammenhang mit dem BTR.sys-Treiber, der für das Löschen von Dateisystem- und Registrierungsressourcen verantwortlich ist, die mit der Schadsoftware auf der kompromittierten Maschine verbunden sind. Da der Treiber keine Verifikationsverknüpfung hat, können Angreifer einen bösartigen erstellen, um beliebige Dateien zu überschreiben. Folglich könnte CVE-2021-24092 von einem lokalen nicht privilegierten Hacker in einer Vielzahl von Angriffen ausgenutzt werden, die keine Benutzerinteraktion erfordern.

Sicherheitsanalysten gehen davon aus, dass die Sicherheitslücke jahrelang unentdeckt blieb, da der Treiber normalerweise nicht auf der Festplatte vorhanden ist, sondern nur bei Bedarf aktiviert wird. Obwohl der Fehler vor langer Zeit in Windows Defender eingeführt wurde, gibt es keine Hinweise auf eine Ausnutzung in freier Wildbahn. Dennoch glauben Forscher, dass Angreifer versuchen würden, dieses Sicherheitsleck gegen ungepatchte Benutzer zu nutzen, nachdem es öffentlich gemacht wurde.

CVE-2021-24092: Erkennung und Abschwächung

SentinelOne meldete die Sicherheitslücke im November 2020 an das Microsoft Security Response Center, und der Anbieter behob sie mit dem Release am 9. Februar 2021. Die letzte von diesem Fehler betroffene Version der Microsoft Malware Protection Engine ist 1.1.17700.4. Die erste Version, in der dieses Problem behoben ist, ist 1.1.17800.5. Der Patch wurde mit der Version 1.1.17800.5 der Microsoft Malware Protection Engine eingeführt, sodass Sie geschützt sind, wenn diese Version (oder später) installiert ist.

Bemerkenswerterweise wird der Patch für CVE-2021-24092 automatisch auf allen Hosts installiert, die die betroffenen Windows Defender-Versionen unterstützen. Überprüfen Sie, ob Sie die Windows Defender-Updates aktiviert haben, um das automatische Upgrade fortzusetzen. Alternativ können Sie die Korrekturen manuell anwenden, um die sofortige Abschwächung zu erreichen.

Um die mit CVE-2021-24092 verbundene bösartige Aktivität zu identifizieren, können Sie eine dedizierte Sigma-Regel von SOC Prime herunterladen:

https://tdm.socprime.com/tdm/info/BHIyVCep9T3w/ikMPrHcBTwmKwLA9LQs8/

Die Regel ist in die folgenden Plattformen übersetzt:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Microsoft Defender ATP, Carbon Black, SentinelOne

MITRE ATT&CK:

Taktiken: Privilegien-Eskalation

Techniken: Ausnutzung zur Privilegien-Eskalation (T1068)

Sofern Sie keinen kostenpflichtigen Zugang zum Threat Detection Marketplace haben, kann diese Sigma-Regel durch Aktivieren Ihrer kostenlosen Testversion im Rahmen eines Community-Abonnements freigeschaltet werden.

Bleiben Sie auf unserem Blog auf dem Laufenden, um die relevantesten Erkennungen zu neu auftretenden Bedrohungen zu erreichen. Weitere Regeln im Zusammenhang mit CVE-2021-24092 werden diesem Artikel hinzugefügt.

Melden Sie sich beim Threat Detection Marketplace an, einer weltweit führenden Content-as-a-Service (CaaS)-Plattform, die Erkennungs-, Anreicherungs-, Integrations- und Automatisierungsalgorithmen bietet, um Sicherheitsakteure zu unterstützen, während große Datenmengen, Protokolle und Cloud-Telemetrie in Cybersicherheits-Signale übersetzt werden. Sie können kuratierte SOC-Inhalte direkt an die SIEM-, EDR-, NSM- und SOAR-Tools Ihrer Wahl streamen, um die Bedrohungserkennungskapazitäten zu verbessern. Möchten Sie Ihre eigenen Sigma-Regeln erstellen und die globale Bedrohungsjagd-Community unterstützen? Treten Sie unserem Threat Bounty Program bei!

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Blog, SOC Prime Plattform — 2 min zu lesen
Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Steven Edwards
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Veronika Telychko