Exploits wie “DefenderSwitch” und “DefenderStop” können den Windows Defender deaktivieren. Gelingt ihnen das auch bei einem gehärteten System? Wir haben es getestet.
Wie gut wirkt Systemhärtung in der Praxis?
Diese Frage wird uns immer wieder gestellt. Also lassen wir potentiell bösartige Software auf Systeme los, die von uns gehärtet wurden. Wir beobachten die Ergebnisse beim Popcorn-Essen, und anschließend analysieren wir die Auswirkungen des Malware-gegen-Härtung-Zweikampfs.
Gefährlich: “DefenderSwitch” missbraucht die SeDebugPrivileges
Wenn man für ein Unternehmen arbeitet, das sichere Konfigurationen bzw. Systemhärtung zu seiner Leidenschaft erklärt hat, sucht man im Internet gerne nach neuen Herausforderungen, an denen man sein Können messen kann.
Als wir über ein Git Repository stolperten, das alles enthielt, was man zum Kompilieren eines Tools namens DefenderSwitch brauchte, wollten wir sofort damit herumspielen. Warum? Dieses hinterhältige, kleine Stück Software schafft es, den Windows Defender auszuschalten. Das gelingt DefenderSwitch, indem es SeDebugPrivileges missbraucht. Damit eignet es sich System-Handles an und gibt sich dann als TrustedInstaller aus.
Hinter dem Tool steckt ein Pasta-liebendes Kollektiv, das sich APT nennt. In diesem Fall steht die Abkürzung nicht für “Advanced Persistant Thread”, sondern für “Advanced Persistent Tortellini”. Wie es zu diesem Namen kam, verraten die gewitzten Entwickler in ihrem Blog:
[…]the Advanced Persistent Tortellini collective is made of a bunch of Italian guys interested in deeply technical topics and offensive techniques. […]
Wie sicher ist ein gehärtetes System wirklich?
SeDebugPrivileges sehen wir als höchst riskant an. Wir raten immer dazu, dass in einem Unternehmen niemand diese Rechte haben sollte. Denn gelangen diese Rechte in die Hände von “Cybergangstern”, öffnet das ihnen Tür und Tor zu allen wichtigen Systemen.
Die Anwendung von DefenderSwitch ist ein gutes Beispiel, um erneut die Risiken der SeDebugPrivileges zu zeigen. Und das Tool eignet sich ebenso bestens dazu, um zu überprüfen, wie gehärtete Systeme reagieren, wenn man das gefährliche Programm ausführt.
Anmerkung: Ähnliche Programme wie DefenderSwitch sind LSADUMP und Mimikatz. Diese nutzen ebenso die SeDebug-Rechte aus, haben aber kein Pasta in sich 😉
Bevor wir unseren Test starteten, fragten wir uns: Wie werden unsere gehärteten Test-Systeme reagieren? Darauf hatten wir zwei Antworten:
-
- Führt man ein System Hardening nach den Microsoft- oder CIS-Benchmarks durch, dürfte DefenderSwitch erfolgreich sein. Denn bei diesen Standards wird empfohlen, die SeDebugPrivileges nur auf Mitglieder der Administratoren-Gruppe zu beschränken. Die Rechte bleiben also erhalten, nur eben in einem kleineren Kreis.
- Auf Systemen, die wir nach unseren eigenen, strengeren Standards härten, dürfte DefenderSwitch keinen Erfolg haben. Da wir die SeDebugPrivileges immer entfernen, kann das Tool nicht die notwendigen Handles erlangen, um sich als TrustedInstaller auszugeben.
Für unseren Test setzten wir vier Systeme mit Windows 10 auf:
| System 1 | Ohne Systemhärtung |
| System 2 | Härtung nach Microsoft-Benchmarks |
| System 3 | Härtung nach CIS-Benchmarks |
| System 4 | Kombination aus CIS-, Microsoft- und selbst entwickelten Benchmarks |
Hinweis: Leider stießen wir bei der Einrichtung der Test-Computer und der Kompilierung von DefenderSwitch auf einige Probleme, die wir nicht in einem akzeptablen Zeitrahmen lösen konnten. Deshalb sind wir auf DefenderStop umgestiegen, das im Grunde eine C#-Version seines C++-Vorgängers ist.
Mit DefenderStop waren wir in der Lage, die Software ohne Probleme zu kompilieren und stabile Ergebnisse zu erzielen.
Die Ergebnisse unserer Tests
Wie haben sich die Systeme gegen DefenderStop geschlagen? Wurden Sie “geknackt” oder nicht?
System 1 – ungehärtet
Wir konnten förmlich hören, wie das arme, nicht gehärtete System vor Schmerzen weinte, als es seiner wertvollen Defender-Fähigkeiten beraubt wurde. Operation gelungen, Patient tot.
System 2 – Microsoft-Härtung
Wie erwartet, wurde DefenderStop seinem Namen gerecht: Es hat den Windows Defender gestoppt, weil eine Härtung nach Microsoft-Empfehlungen in diesem Fall zu lasch ausfiel. Damit wäre der “Windows-Wachmann” ausgeknockt und die Cyber-Kriminellen könnten bequem ins System eindringen.
System 3 – CIS-Härtung
Bei einer Härtung nach den CIS-Benchmarks kommt es zum gleichen Ergebnis: Der Windows Defender wird von DefenderStop erfolgreich deaktiviert.
System 4 – FB-Pro-Härtung
Nur an unserem sehr stark gehärteten System biss sich DefenderStop die Zähne aus. Verständlich, denn es gab ja kein SeDebugPrivilege.
Fazit
Ah, was für ein befriedigendes Ergebnis! Systemhärtung wirkt – wenn man sie intensiv genug durchführt.
Für Sie haben wir nun noch zwei abschließende Fragen:
-
-
Wissen Sie, wer in Ihrer Firma das SeDebugPrivilege hat?
-
Raten Sie mal, was es bei uns heute zum Essen gibt 😉
-
– Update –
Nach unserem Tests veröffentlichte Microsoft einen kumulativen Patch, bei dem TrustedInstaller als Besitzer entfernt wurde. Auch die Beseitigung des Patches bringt diese Einstellung nicht wieder zurück.
Aber die Quintessenz dieses Artikels bleibt die gleiche: SeDebugPrivileges sind gefährliche Rechte! Ein Missbrauch durch spezielle Tools ist noch immer gegeben.
Benötigen Sie Hilfe bei der Systemhärtung?
Möchten Sie in Ihrem Unternehmen die Systeme professionell härten? Unsere Experten sind gerne für Sie da! Kontaktieren Sie uns ganz unverbindlich, wir melden uns umgehend bei Ihnen.
Bild: Freepik, Screenshots: Microsoft/FB Pro