Windows 10: Ordnerschutz gegen Ransomware soll gut zu umgehen sein

Ein Sicherheitsforscher einen Weg gefunden, die in Windows 10 hinzugefügte Funktion "Controlled Folder Access" (CFA) zu umgehen. Dies ist ein Feature im Windows Defender Antivirus, das Microsoft als als zuverlässige Anti-Ransomware-Abwehrmassnahme anpreist.
 
Die CFA-Funktion wurde im Fall Creators Update (V1709) ausgerollt und ermöglicht den Ordnerschutz. Sie soll umgekehrt verunmöglichen, dass Malware oder Ransomware Dateien schreiben oder manipulieren können. Nun hat der Spanier Jesus Yago von SecurityByDefault herausgefunden, dass man den Ordnerschutz ganz einfach durch OLE-Objekte in Office-Dateien umgehen kann.
 
Wie das? Standardmässig sind ausführbare Office-Anwendungen in der White-List aufgeführt, so dass diese Programme ohne Einschränkungen auf geschützte Ordner zugreifen können.
Wie genau, das berichtet der Forscher anhand von drei Beispielen.
 
Microsoft selbst sieht das nicht so eng und schon gar nicht als Lücke, "weil Defender Exploit Guard keine Sicherheitsbarriere ist. Aber nochmals vielen Dank für die Meldung." Diese Antwort passt nicht 100-prozentig zur Microsoft-Aussage in 'TheWindowsClub.com'. Dort wird Exploit Guard bezeichnet als Tool zur "Windows System- und Applikations-Exploit-Minderung".
 
Was nun geschieht? "Wir adressieren dies durch eine Verbesserung der Funktionalität", kündigt Microsoft an. Wie, wann undsoweiter lässt die Firma noch offen. (mag)