Windows 10 Malware

Danda hatte herausgefunden, dass sich der Laserscanner leicht täuschen lässt. Tanda konnte beispielsweise bösartige PowerShell-Befehle verwenden, indem der bösartige Code selbst lediglich Null-Zeichen mit ausführen enthalten hat. Dies bedeutet, dass AMSI nur eine Akte auf das Null-Zeichen und dann nur auslässt für den restlichen Teil der Angaben überprüft, wenn Sie nicht das passende Sicherheits-Update installieren.

Eine Angreiferin muss ihre Kommandos nur hinter einem Leerzeichen "verstecken", um z. B. eine AMSI zu umfahren. In der Anti-Malware Scan Interface (kurz AMSI) wurden Betrügern Tür und Thor geöffnet, um auf die Computer der Betroffenen zuzugreifen. Eine Vielzahl von Antivirenprogrammen war grundsätzlich unbrauchbar, nicht nur Windows Defender selbst. Die Schnittstelle ist eines der Sicherheitsmerkmale von Windows 10 und dient als Schnittstelle zwischen den Einzelanwendungen und den jeweiligen nationalen Antivirenprogrammen.

Die Windows 10-Sicherheitsbypass ist nun mit den February Patchday updates abgeschlossen - daher sollten die Upgrades sofort verfügbar sein, sobald durchgeführt verfügbar ist.

Security: Windows 10 - das Ende der Malware?

Mit Windows 10 hat Microsoft viel Zeit in die Sicherheit investiert. Es gibt seit dem letzen Windows Builds 10586 in Windows 10 sowie Serverbetrieb 2016 HP4 viele Funktionalitäten, die von Microsoft bereits als produktionsreif markiert sind. Dies wird es den Admins ermöglichen, mit dem Test der neuen Techniken zur Vorbereitung auf die Freigabe von Windows 2000, Windows 2000 und Windows 10 in der zweiten Hälfte des nächsten Jahrs zu beginnen.

Es gibt auch einige neue Funktionen für Endbenutzer, die ihre Windows 10-Computer im privaten Bereich verwenden. Eines der neuen Features im Hintergund ist Windows-Pass. Microsoft ist bemüht, mit Windows Pass das herkömmliche Kennwort durch eine viel zuverlässigere zweifache Authentisierung zu ersetzten, die von Trusted Platform Modules (TPM) unterstützt wird. Die Grundidee ist, den Anwender davon abzuhalten, sich Passwörter zu merken, sondern sich mit Windows Pass über das FIDO-kompatible Protokol zu authentifizieren.

Die andere Komponente ist etwas Anwenderspezifisches wie eine PIN oder eine biometrische Funktion (siehe Windows Hello). Der Reisepass erfordert einen IdentityProvider ( "IDP"), der den Benutzer authentisiert und Authentifizierungstoken für die jeweiligen Produkte oder Dienste ausgibt. Es kann sowohl Azure AD, ein lokales AD, als auch das Microsoft-Konto für private Benutzer verwendet werden.

Dabei ist zu beachten, dass ein Angriff wie Pass-the-Hash oder Pass-the-Ticket mit Pass nicht möglich ist, solange ein TPM in der Client- und Serverhardware verwendet wird, da es dann eine fixe Verbindung zwischen TPM und Tokens gibt. Möglicherweise ist die wohl am besten bekannte Funktionalität von Reisepass Windows Hello. Dies ist die unter Windows 10 erstmalig mit On-Board-Mitteln realisierbare Biometrie mit Fingerprint, Irisscan oder 3D-Flächenerkennung.

Darüber hinaus kann die Verwendung von nicht dokumentierten Funktionalitäten und die fehlende Systemverankerung zu Fehlern bei Aktualisierungen und unterschiedlichen Windows-Versionen führen. Nachdem ein Nutzer Reisepass mit Hello erstellt hat, ist es nicht mehr erforderlich, Passwörter in unterstützte Webseiten oder Applikationen einzugeben. Für die Verwendung von Windows Reisepass ist Windows Hello lediglich ein opt.

Wir haben Windows Hello bereits in einem Beitrag näher erläutert. Der Microsoft-Bitlocker zur Verschlüsselung der Festplatte und das integrierte Antivirensystem Windows Defender haben sich ebenfalls geändert. Microsofts Zielsetzung ist es, allen Windows-Benutzern mit On-Board-Ressourcen mindestens einen grundlegenden Schutzwert zu bieten. Neben dem von Microsoft seit einiger Zeit nachgefragten TPM in jedem Computer geht es darum, die Verschlüsselung der Festplatte auf jedem Computer sicherzustellen und damit vor Offline-Angriffen zu schützen.

Bei Bitlocker gibt es nun eine neue Version des neuen Algorithmus XTS-AES, neue Regeln zur Beschränkung von Direct Memory Access (DMA)-Ports und die Möglichkeit der Verwendung von Activity Directory von DMA. Dies ermöglicht es Bitlocker auf Computer auszurollen, die zu einem azureaktiven Verzeichnis gehören, und die entsprechenden Recovery Keys im azureaktiven Verzeichnis zu speichern.

Auch Windows Verteidiger hat von Microsoft eine größere Bedeutung erhalten. Laut Microsoft wurde das Verteidiger-Team deutlich erweitert, um die durchschnittliche Erkennungsrate auf das Niveau der Marktleader anzuheben und die automatisierte Cloud-basierte Analytik von Malware weiter zu optimieren. Bei jeder Installation von Windows 10 und Server 2016 wird der Verteidiger von Beginn an in Betrieb genommen und aktiv.

Wenn der Verteidiger feststellt, dass ein AV-Programm eines Drittanbieters in Betrieb ist, wird es sich selbstständig deaktivieren. Microsoft stellt diesen Drittanbietern eine API-ähnliche Oberfläche namens SEC (Secure Event Channel) zur Verfügung, um sie daran zu hindern, weiterhin ohne Dokumentation arbeitende Verfahren zu verwenden. Das bedeutet, dass nicht die geringste Gefährdung für das AV-Produkt mit jedem Windows-Upgrade auftritt. Darüber hinaus stellt Windows Verteidiger fest, wenn kein anderes AV-Produkt auf dem Computer oder in der Software auf dem Computer läuft oder die Nutzungsdauer abläuft. In diesem Fall reaktiviert sich Windows Abwehr.