Microsoft Defender mit neuer Schutzfunktion und abgestelltem Fehlalarm
Microsoft hat dem Defender ein neues Schutzmodul spendiert, der den Rechnerstart absichern soll. Dabei wurde der Fehlalarm vor deaktiviertem Schutz abgestellt.
(Bild: Erstellt mit Bing Image Creator durch heise online)
Vor rund einem Monat hat Microsoft Defender angefangen, vor einem deaktiviertem "Schutz durch die lokalen [sic] Sicherheitsautorität" zu warnen. Diesen Fehler haben die Entwickler korrigiert. Defender hat dafür neue Schutzkomponenten erhalten: "Hardware-gestützter Stapelschutz im Kernel-Modus" und "Firmware Attack Surface Reduction".
Microsoft Defender: Neue Schutzmodule
Das Defender-Update könnte vielen Nutzerinnen und Nutzern unbemerkt durchgegangen sein. Das Taskleisten-Symbol zur Windows-Sicherheit zeigt aktuell im Regelfall weiterhin ein gelbes Ausrufezeichen an – obwohl der Fehler, der zuletzt dafür verantwortlich war, nun behoben wurde. Seit Mitte März hatte der Defender fälschlicherweise gewarnt, dass der Schutz durch die lokale Sicherheitsautorität deaktiviert sei. Das ist jetzt nicht mehr der Fall.
(Bild: Screenshot / dmk)
Stattdessen weist die Warnung auf Rechnern mit aktuelleren Prozessoren verwirrender Weise darauf hin, dass ein neuer Schutz aktiv sei, obgleich der Schalter dazu auf "Aus" steht: "Auf Ihrem Gerät ist der FASR-Schutz (Firmware Attack Surface Reduction) von Microsoft aktiviert". Das erscheint als Unterschrift zu einem ebenfalls neuem Modul, das auf Deutsch etwas gestelzt "Hardware-gestützter Stapelschutz im Kernel-Modus" heißt.
Die Erklärung von Microsoft dazu lautet: "Bei Code, der im Kernelmodus ausgeführt wird, bestätigt die CPU angeforderte Rücksprungadressen mit einer zweiten Kopie der im Schattenstapel gespeicherten Adresse, um zu verhindern, dass Angreifer eine Adresse ersetzen, die stattdessen bösartigen Code ausführt. Beachten Sie, dass nicht alle Treiber mit dieser Sicherheitsfunktion kompatibel sind". Es handelt sich um einen Schutzmechanismus, den Microsoft bereits in Windows 10 einziehen lassen wollte – auf Englisch "Hardware-enforced Stack-Protection" genannt.
(Bild: Screenshot / dmk)
Neuere Prozessoren von Intel und AMD unterstützen einen Shadow-Stack-Mechanismus, mit dem sie eine Kopie der Programm-Stacks vorhalten. Greift eine Malware nun eine Sicherheitslücke in einer Software an, die Manipulationen am Stack ermöglicht und dabei die Rücksprungadresse verändert, können die modernen CPUs durch den Vergleich mit der unversehrten Schattenkopie die Änderung erkennen und die Ausführung des Schadcodes verhindern. Das hilft Angriffe zu verhindern, die etwa auf Return-oriented-programming (ROP) basieren, was ein gängiger Kniff von Schadsoftware ist.
Besser geschützt beim Bootvorgang
Nach dem Aktivieren der Option, neben der Microsoft den FASR-Schutz erläutert, und dem nötigen Neustart verschwindet die Fehlermeldung des Windows-Sicherheitscenters in der Taskleiste. Auf einem Testgerät wird jedoch nichts mehr zu dem Firmware-Schutz angezeigt. Laut der Erläuterung der Kernisolation-Komponente von Microsofts Defender sollte offenbar eine Funktion "Firmware-Schutz" sichtbar sein. Microsoft erläutert den Mechanismus detailliert in einem Online-Artikel. Vereinfacht soll FASR Firmware-Komponenten auf Hardware, die das unterstützt, auf Veränderungen untersuchen und so sicherstellen, dass sich keine Malware in der Bootkette einschleicht.
Auch, wenn nicht ganz klar ist, ob der Firmware-Schutz jetzt aktiv ist oder nicht, stellen zusätzliche Schutzmodule eine begrüßenswerte Entwicklung dar. Dass Microsoft die fehlerhafte Meldung einer anderen deaktivierten Schutzkomponente nach rund einem Monat in den Griff bekommen hat, nimmt vielen Nutzern und IT-Verantwortlichen die Sorge, dass vielleicht wirklich etwas nicht stimmt auf den betroffenen Rechnern.
(dmk)
