Sicherheitslücke durch Kinowelt-Kopiersperre

Am 24. Januar erschien die Video-DVD "Mr. & Mrs. Smith" zunächst als Verleih-DVD; seit dem 7. Februar ist sie auch im Handel erhältlich. Seitdem findet sich der Titel sowohl in den Verleih-Charts als auch in den Verkaufshitparaden unter den Top 10. Für Windows-PCs stellt die darauf eingesetzte Kopiersperre Alpha-DVD des koreanischen Herstellers Settec jedoch ein potenzielles Sicherheitsrisiko dar. Durch eine Schwachstelle in der Implementierung können böswillige Entwickler mit geringem Aufwand eigene Prozesse vor dem Betriebssystem verstecken.

Im Rahmen einer Analyse fand heise Security innerhalb kurzer Zeit einen Angriffspunkt. Ein wesentlicher Bestandteil der Sperre ist die Behinderung aller Versuche, die Original-DVD unter Windows zu kopieren. Dazu versteckt sich Alpha-DVD mithilfe einer DLL. Diese lässt sich jedoch auch dazu missbrauchen, andere Prozesse zu verstecken.

Alpha-DVD besteht aus zwei Komponenten: Die eine besteht aus defekten Sektoren auf der Disc, die andere aus drei Dateien, die in das System32-Verzeichnis kopiert werden. Wie bereits berichtet, erhält eine der drei Dateien bei jeder Installation einen anderen Namen, darunter "bootgui.exe", "msxhtml.exe" und "win32k2.exe". Sie kann daran wiedererkannt werden, dass sie 808 KByte groß ist und in den Dateieigenschaften als Hersteller "MS Corp." steht.

Nach dem ersten Einlesen der DVD auf einem Windows-PC erscheint ein Dialog mit einem Lizenzabkommen auf dem Bildschirm. Die EULA erklärt, vor der Wiedergabe sei erst eine "eine Software-Anpassung" nötig, beruhigt den Anwender dann aber: Die "Modifikation des Betriebssystems" sei "von den Herstellern" der "zugelassenen Systeme" "geprüft und für unbedenklich erklärt" worden. Als zugelassene Systeme werden sechs Windows-Versionen aufgelistet (Windows 98, 98SE, ME, 2000, XP, 2003 Server). Microsoft wollte sich bisher nicht dazu äußern, ob Alpha-DVD tatsächlich eine solche Unbedenklichkeitserklärung erhalten habe.

Klickt der Anwender auf "Ich stimme zu", installiert Alpha-DVD drei Dateien in das System32-Verzeichnis und lädt sich in den Speicher. Die eigentliche Kopiersperre versteckt sich vor dem Task-Manager und anderen Prozess-Listern mithilfe einer Bibliothek, die Alpha-DVD allen laufenden User-Level-Prozessen unterschiebt. Von dort aus leitet die DLL unter anderem Funktionen aus den Systembibliotheken kernel32.dll und Ntdll.dll auf sich um. Dazu gehört NtQuerySystemInformation(), aus deren Ergebnissen die DLL die Informationen zum zentralen Prozess des Kopierschutzsystems herausfiltert. Darüber hinaus hängt hadl.dll sich in Aufrufe von NtCreateFile(), OpenProcess(), DeviceIoControl(), SendASPI32Command(), SendASPI32Command() und ElbyCDIO_ExDoScsiIO ein.

Eine Analyse von heise Security ergab, dass "hadl.dll" bereitwillig auch andere Prozesse unter seine Tarnkappe nimmt. Ein kleines Demo-Programm tauchte anschließend weder im Task Manager noch im Process Explorer von SysInternals, wohl aber auf dem Desktop auf. Dazu waren nur wenige Zeilen Code notwendig. Damit die Tarnkappe aktiv wird, muss die Bibliothek nur im Systempfad abgelegt sein; der restliche Kopierschutz muss dazu nicht aktiv sein.

Auch wenn es sich bei Alpha-DVD selbst nicht um einen Rootkit handelt, bedient sich Settecs Kopierschutz klassischer Rootkit-Techniken. Im Unterschied zum in Verruf geratenen XCP-Kopierschutz auf Musik-CDs von Sony BMG versteckt Alpha-DVD weder Dateien, Verzeichnisse oder Registry-Einträge vor dem System, sondern nur aktive Prozesse.

Settec hat das potenzielle Sicherheitsrisiko mittlerweile anerkannt und arbeitet nach eigenen Informationen an einem Patch. Dies wird Kunden, die den Kopierschutz von den Kinowelt-DVDs "Mr. & Mrs. Smith" oder "Edison" installiert haben, wenig helfen. Settec empfiehlt betroffenen Kunden daher, die Sperre mit dem auf der Firmen-Website bereitgestellten Deinstallationswerkzeug vom Rechner zu entfernen.

Eine erneute Installation von Alpha-DVD lässt sich für Windows-Anwender dadurch verhindern, indem sie entweder die Autostart-Funktion des DVD-Laufwerks generell deaktivieren oder die Umschalt-Taste gedrückt halten, während das Laufwerk die DVD einliest. Die Kopiersperre wird damit nicht umgangen, da sich die Videodateien mit den defekten Sektoren weiterhin nicht auf die Festplatte kopieren lassen.

Zudem ist heise Security den in diversen Foren beschriebenen Schwierigkeiten mit Brennern und virtuellen Laufwerken nachgegangen, wenn Alpha-DVD installiert ist. Tatsächlich zeigen Brenn- und DVD-Kopier-Programme Fehlfunktionen oder verweigern gar komplett den Dienst, solange die geschützte DVD im Laufwerk liegt. Dies entspricht dem vom Hersteller beabsichtigten Verhalten. Auf einem Test-System kam es aber auch zu Fehlverhalten, ohne dass eine Kinowelt-DVD im Laufwerk lag. Ein Philips-Brenner löschte zwar bereitwillig DVD+RW-Medien, erkannte sie danach aber nicht als leer. Ein Pioneer-Brenner zeigte beim Beschreiben gelegentliche Unregelmäßigkeiten. All diese Phänomene verschwanden nach der Deinstallation der Kopiersperre wieder.

Für Linux-Anwender und Mac-User ist Alpha-DVD komplett ungefährlich. Man könnte sogar behaupten, dass Kinowelt ein Herz für Linux zeigt: Der Titel verzichtet auf den ansonsten allgegenwärtigen DVD-Kopierschutz CSS (Content Scrambling System) und lässt sich so ganz ohne DeCSS-Bibliothek wiedergeben. (ghi)