Auf den Punkt: GhostTree nutzt vom Windows-Dateisystem nicht korrekt bewachte NTFS-Junctions, um Scanner in Endlosschleifen zu verwickeln und Schaddateien dem Zugriff zu entziehen.
Sicherheitsforscher haben die GhostTree-Technik dokumentiert, die mittels NTFS-Junctions endlose Dateipfad-Schleifen erzeugt und Virenscans sowie EDR-Lösungen zum Hängenbleiben bringt. Die Methode funktioniert ohne Administratorrechte.
Die GhostTree-Technik missbraucht NTFS-Junctions – Verzeichnisverknüpfungen des Windows-Dateisystems – um rekursive Dateipfad-Schleifen zu konstruieren. Ein Unterordner wird dabei so konfiguriert, dass er auf sein eigenes übergeordnetes Verzeichnis verweist. Da jeder Nutzer ohne Administratorrechte solche Junctions erstellen darf, lässt sich diese Konfiguration mit Standardberechtigungen einrichten.
Die Forscher unterscheiden zwei Ausprägungen: Bei GhostBranch zeigt ein einzelner Unterordner auf das Elternverzeichnis, wodurch eine lineare Pfad-Sequenz entsteht. GhostTree kombiniert mehrere solcher Verknüpfungen (etwa Child1 und Child2), die jeweils zurück aufs Elternverzeichnis zeigen – es entsteht eine baumartige Struktur. Durch unterschiedliche Verzeichnisnamen an jeder Ebene generiert das Verfahren rechnerisch astronomisch viele eindeutige Dateipfade, die alle auf dieselbe Schaddatei führen. Die maximale Tiefe wird durch das Windows-Limit der maximalen Pfadlänge begrenzt.
Für Standard-Virenscanner und EDR-Lösungen (Endpoint Detection and Response) stellt dies ein erhebliches Problem dar: Diese Tools durchsuchen Verzeichnisse typischerweise rekursiv und folgen damit den Endlosschleifen, woraufhin der Scanprozess hängen bleibt oder die versteckten Dateien nicht korrekt untersucht werden. Tests mit Windows Defender zeigten, dass die Methode lokale Verzeichnisscans tatsächlich umgeht.
Microsoft bewertete die Umgehung zunächst nicht als Überschreitung einer Sicherheitsgrenze, implementierte dann aber einen Patch zur Einschränkung rekursiver Ausnutzung. Die Forscher empfehlen als zusätzliche Maßnahme die Überwachung von Dateisystemaktivitäten, insbesondere die Detektion anomaler Junction-Erstellungen, um solche Angriffsmuster frühzeitig zu identifizieren.
Quelle: www.it-daily.net · Erschienen 17. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.