Schwachstelle 21.12.2016, 14:56 Uhr

So kann Microsofts UAC-Mechanismus missbraucht werden

Vorsicht bei Installations-Programmen von namhaften Software-Herstellern. Denn wie der Schweizer IT-Security-Berater Oneconsult herausgefunden hat, lassen sich diese mit schädlichen Skripten unterwandern.
Wer unter Windows Software installiert, muss in der Regel dem PC hierfür die Erlaubnis geben. Geregelt wird dies von Microsofts UAC (User Account Control). Dieser Mechanismus prüft anhand eines Zertifikats, ob die gewünschte Applikation von einem vertrauenswürdigen Hersteller stammt und somit bedenkenlos installiert werden kann. So weit, so gut: Dem in Thalwil beheimateten IT-Security-Beratungsunternehmen Oneconsultist nun aber im UAC-Mechanismus eine Schwachstelle aufgefallen, die es Hackern erlauben könnte, gefährliche Malware auf den Rechner zu schmuggeln. Mehr noch: Sie könnten das Vertrauen, das Hersteller wie Microsoft beim Anwender geniessen, als Deckmantel für ihre Angriffe missbrauchen.

Nur die «.exe»-Datei wird geprüft

Und so funktioniert die Methode: Den Spezialisten von Oneconsult ist aufgefallen, dass in einem Installationspaket nur bei der eigentlichen ausführenden Datei (beispielsweise bei «Setup.exe») das Zertifikat überprüft wird. Bei dieser Portable Executable (PE) handelt es sich aber um einen generischen Installer, der seine eigentlichen Aufgaben einer weiteren Datei (Setup.xml) entnimmt, welche offensichtlich ohne Überprüfung einer Signatur eingelesen werden kann. Somit könnten Angreifer in diese Datei Routinen einbauen, etwa ein bösartiges Skript, und so den PC des Opfers infizieren.
«Grundsätzlich ist dies vermutlich mit diversen anderen signierten Installationsdateien oder auch anderen Arten von PEs möglich», mutmassen Jan Alsenz, Chief Research Officer, und Rafael Scheel, Senior Penetration Tester, IT-Forensiker & Security Researcher bei Oneconsult, in einem Report auf der Webseite des Unternehmen, der die Schwachstelle genau beschreibt. Microsoft sei von Oneconsult vor gut einem halben Jahr über die Schwachstelle informiert worden, habe aber sehr ausweichend reagiert und sehe keinen Handlungsbedarf. «Schlussendlich bedeutet dies, dass ein Benutzer keine Möglichkeit hat, zu erkennen, welche Programme tatsächlich durch eine signierte Software ausgeführt werden», schlussfolgern Alsenz und Scheel in ihrem Bericht. Sie stellen sich daher berechtigterweise die Frage, wozu die Signatur im UAC-Fall überhaupt diene – ausser Vertrauen zu erschleichen.



Das könnte Sie auch interessieren