aTP-Windows Defender service crash

aTP-Windows Defender service crash

Zu Beginn, es ist uns ein äußerst wichtiges Anliegen, jeden wissen zu lassen, dass wir diesen eigens kreierten Exploit nur für hausinterne LAB Tests nutzen und keinerlei Interesse haben, Diesen generell an dritten Personen oder an unseriöse Personen weiterzugeben. Es geht rein um den wissenschaftlichen Aspekt, um das Forschen im IT-Sicherheitsbereich und um die Neugier des Forschens. Wir leiten alle Informationen an Microsoft weiter und wollen dadurch zur Steigerung der IT-Sicherheit beitragen.

Zur Erinnerung, letztes Mal haben wir in unserer LAB Umgebung den hauseigenen Antivirus von Microsoft (Windows Defender) per Powershell Script nicht nur umgangen, sondern den damit verbundenen Service im Standarduser Kontext auch zum Abstürzen gebracht. Da diese Variante eher für Tests in der Post Exploitation Phase geeignet ist, haben wir den „Windows Defender Service Crash“ wie folgt weiterentwickelt:

  • Zum einen kreierten wir eine Variante (mail delivery fähig), mit der wir in unserer LAB Umgebung Tests anhand eines realistischen Szenarios durchspielen können.
  • Zum anderen umgehen wir dieses mal den Defender an einem Host auf dem zusätzlich die „Advanced Threat Protection“ (ATP) aktiviert ist.
  • Ebenfalls konnten wir auch hier nachstellen, dass nach der Öffnung eines C2 Channels im Standarduser Kontext, der Windows Defender AV Service gezielt zum Absturz gebracht werden kann.

Daniel Feichter
daniel.feichter@strong-it.at