Windows 10: Ordnerschutz des Defender lässt sich leicht umgehen

Windows 10 Fall Creators Update und der Ransomware-Ordnerschutz

Microsoft hat bei Windows 10 Fall Creators Update (V1709) ja die Funktion Überwachter Ordnerzugriff (Ordnerschutz oder Controlled Folder Access, CFA) im Windows Defender implementiert. Diese Funktion soll das Schreiben und Manipulieren von Dateien in Benutzerordnern durch unberechtigte Anwendungen (Malware, Ransomware) unterbinden.


Die Funktion lässt sich über die Einstellungen-App im Windows Defender Security Center kontrollieren. Die Funktion lässt sich ein- und ausschalten. Zudem können die zu schützenden Ordner in einem separaten Fenster verwaltet werden.


Über App durch überwachten Ordnerzugriff zulassen lassen sich Anwendungen in eine Whitelist aufnehmen, um in die Ordner schreiben zu können. Könnte eine sinnvolle Funktion sein, wenn diese funktionieren würde. Kurz nach Veröffentlichung der Windows 10 Version 1709 hatte ich diese auf einer Testmaschine probeweise aktiviert. Seinerzeit musste ich aber feststellen, dass die Funktion nicht sauber arbeitete. Mal waren die Ordner geschützt, mal nicht. Rückmeldungen von anderen Nutzern ergab, dass Microsoft über Windows Update an der Funktion 'optimierte', so dass das Verhalten beim Erkennen des Ordnerschutzes durch Überwachung zuverlässiger wurde.

Allerdings bleibt der Zweifel, ob das Groß der Nutzer die Funktion einschaltet und sich den Aufwand zur Verwaltung der Ordner antut.

Dicke Lücke über Microsoft Office und die OLE-Funktion

Dem spanischen Sicherheitsforscher von Security By Default, Yago Jesus, ist aufgefallen, dass Microsoft automatisch alle Office-Anwendungen in einer White-List einträgt. Sprich: Office-Anwendungen dürfen Dateien, die sich in einem geschützten Ordner befinden, ändern (und den CFA-Schutz so umgehen). Das Problem: Gerade Office hat sich in der Vergangenheit als Einfallstor für Social Media-Angriffe und Schadsoftware heraus kristalliert.

Über den von Microsoft Office unterstützen OLE-Mechanismus ist es Yago Jesus gelungen, per Python-Skript auf Ordner, die eigentlich per CFA geschützt sein sollten, zuzugreifen und Dateien zu manipulieren. Seine Erkenntnisse hat Yago Jesus am 31. Januar 2018 in diesem Blog-Beitrag veröffentlicht. Er hat inzwischen drei Scripte veröffentlicht, um diese Ansätze zu demonstrieren. Diese ließen sich per Spam-E-Mail verteilen. Mit den Beispielen lassen sich Inhalte anderer Office-Dokumente, die in geschützten -Ordnern gespeichert sind, überschreiben, mit einem Kennwort schützen oder manipulieren und verschlüsseln. Genau die Funktionen, die Ransomware benötigt.

Microsoft sieht keine Sicherheitslücke

Etwas merkwürdig ist die Reaktion Microsofts, nachdem Yago Jesus das Unternehmen kontaktiert hatte. Jesus dokumentiert dies mit einer Antwortmail des Unternehmens. Der Hersteller des Betriebssystems will das Problem nicht als Sicherheitsschwachstelle einstufen. Stattdessen plant Microsoft die Ordnerüberwachung in zukünftigen Versionen verbessern, um die berichtete Bypass-Methode abzuschwächen.

Bleibt die abschließende Frage: Setzt jemand von Euch diese Funktion des Defender in Produktivumgebungen ein? Und wie sind die praktischen Erfahrungen mit der Ordnerüberwachung?