Gratis
9. Februar 2018 - Technischer Datenschutz

Ransomware hebelt Schutz von Windows 10 aus

Angriffe mit Ransomware sind für Unternehmen nicht nur in Hinblick auf den Datenschutz ein ernstzunehmendes Problem. Gegen solche Attacken sollte unter Windows 10 der Defender von Microsoft einen Schutz bieten. Doch diese Funktion hat ein Sicherheitsforscher jetzt erfolgreich überwunden.

Lösegeldforderung Ransomware Ransomware-Angriffe sind für Betriebe ein vielschichtiges und vor allem kostspieliges Problem (Bild: kaptnali / iStock / Thinkstock)

Wie funktioniert Ransomware

Wird ein System von Ransomware befallen, verschlüsselt die Schadsoftware in kürzester Zeit ohne Zutun des Anwenders Dateien. Danach ist ein Zugriff auf die Informationen erst wieder möglich, wenn das Opfer ein „Lösegeld“ zahlt.

Üblicherweise muss der Betroffene die Summe in einer Cryptowährung bezahlen, dann werden die Daten entschlüsselt.

Das schadet Unternehmen gleich in mehrfacher Hinsicht:

  • Einerseits führt der Angriff schlimmstenfalls zu Stillständen in ganzen Abteilungen.
  • Es entsteht ein finanzieller Schaden durch die Lösegeldforderungen.
  • Und schließlich kann das ein Verstoß gegen Datenschutzrechte sein.

Denn zum einen müssen personenbezogene Daten so gespeichert werden, dass keine Manipulation möglich ist. Zum anderen müssen die Daten verfügbar sein.

Überwachter Ordnerzugriff soll Schäden minimieren

Um die potenziellen Schäden durch Ransomware abzumildern, hat Microsoft den Windows Defender unter Windows 10 mit der Funktion „Überwachter Ordnerzugriff“ ausgestattet.

Damit möchte der Konzern verhindern, dass nicht vertrauenswürdige Anwendungen Inhalte bestimmter Ordner verändern. Das gilt also auch für die Verschlüsselung.

Ist die Funktion aktiv, sperrt Windows Defender wichtige Systemordner wie Dokumente, Favoriten, Fotos, Videos und Desktop.

Dabei ist es möglich, den Ordnerzugriff für bestimmte Programme freizugeben. Vom Betriebssystem als unbedenklich eingestufte Anwendungen sind „immer zulässig“.

Ein manuelles Eingreifen der Anwender soll somit nur in Ausnahmefällen notwendig sein.

Windows Defender überlistet

Genau das hat der spanische Sicherheitsforscher Yago Jesus vom Unternehmen „Security By Default“ ausgenutzt.

In einem Blogbeitrag (über den das Magazin ZDNet berichtet) schildert er, wie es ihm gelungen ist, Python-Code in Word-Dateien einzuschleusen. Mit deren Hilfe konnte der Forscher im eigentlich überwachten Ordner „Dokumente“ Dateien öffnen und verschlüsseln.

Der Vorgang erfolgte im Hintergrund und damit unsichtbar für die Nutzer. Genau wie dies bei einem Angriff mit Ransomware der Fall gewesen wäre.

Bekannte Schwachstelle

Die Schwachstelle basiert auf einem bei Experten bekannten und alten Windows-Mechanismus, dem Objekt Linking and Embedding (OLE). Dieser war schon häufiger für Schwachstellen auf Windows-Systemen verantwortlich.

Im Kern bedeutet dies, dass Unternehmen sich beim Schutz vor Ransomware nicht auf die eingebauten Funktionen des Betriebssystems verlassen dürfen.

Unbedingt sind weitere Lösungen nötig, um sich vor diesen heimtückischen Angriffen zu schützen.

Stephan Lamprecht