Defender

Die Schwachstelle betrifft Microsoft Defender SmartScreen, eine Schutzfunktion von Windows, die Anwender vor potenziell schädlichen Dateien und Programmen warnt. Ein zentrales Sicherheitsmerkmal ist dabei das sogenannte Mark of the Web (MOTW): Dateien, die aus dem Internet stammen, erhalten eine Kennzeichnung, woraufhin Windows beim Öffnen zusätzliche Sicherheitsprüfungen und Warnungen auslöst. Über diese Lücke kann ein Angreifer genau diesen Schutzmechanismus umgehen. Dazu präpariert er eine speziell gestaltete Datei so, dass die MOTW-Markierung und die damit verbundenen Warnungen nicht greifen. Öffnet das Opfer die Datei, bleiben die gewohnten Sicherheitshinweise aus, und schädlicher Inhalt kann ausgeführt werden, ohne dass SmartScreen eingreift. Der Angriff setzt voraus, dass der Nutzer die manipulierte Datei tatsächlich öffnet, weshalb solche Dateien typischerweise über E-Mails oder Webseiten verbreitet werden. Betroffen sind Windows-Systeme, auf denen SmartScreen den Schutz übernehmen soll.