Windows-Hilfe als Einfallstor fĂĽr Angreifer [Update]
Ein Fehler in Microsofts Hilfe- und Supportcenter lässt sich ausnutzen, um aus der Ferne einen Windows-PC zu kompromittieren. Einen Patch gibt es noch nicht.
- Daniel Bachfeld
Ein Fehler in Microsofts Hilfe- und Supportcenter lässt sich ausnutzen, um aus der Ferne einen Windows-PC zu kompromittieren. Dazu genügt der Aufruf einer manipulierten Webseite mit dem Internet Explorer. Ursache des Problems ist die fehlerhafte Implementierung der Whitelist-Funktion, mit der das Supportcenter prüft, ob ein Hilfedokument aus einer erlaubten, vertrauenswürdigen Quelle stammt. Doch das Supportcenter kann nicht nur Hilfedokumente aus dem Netz nachladen (über den URL-Handler hcp://), es kann auch lokale Anwendungen starten, beispielsweise die Remote-Unterstützung und dergleichen.
Laut Tavis Ormandy steckt aber in der Umwandlung von Escape-Sequenzen in eine vollständige URL (URL-Normalisierung) ein Fehler, mit der sich die Whitelist austricksen und eine manipulierte URL übergeben lässt. Damit ist es möglich, Programme auf dem PC auszuführen. Ein Angreifer könnte etwa den FTP-Client starten, um einen Trojaner aus dem Netz zu laden und und ihn anschließend zu starten.
Ganz so simpel funktioniert der Angriff aber nicht. Ormandy nutzt noch weitere Schwachstellen und Tricks, um mit seiner bereit gestellten Demo einen Taschenrechner ohne Interaktion des Anwenders zu starten. Unter anderem erscheint nämlich beim Aufruf einer hcp://-URL mit dem Internet Explorer ein Warnhinweis ("Möchten Sie dieser Webseite das Öffnen eines Programmes auf dem Computer gestatten"), den der Anwender bestätigen muss.
Diese Klippe umschifft Ormandy, indem er die URL nicht direkt im Browser öffnet, sondern über ein ActiveX-Plug-in des Windows Media Player aufruft – und dort kommt die Warnung nicht. Zusätzlich nutzt Ormandy noch eine Cross-Site-Scripting-Schwachstelle in der Datei sysinfomain.htm, um seine Befehle an das Hilfecenter zu übergeben. Alles zusammengenommen, ergibt sich ein ausgefeilter Exploit, der im Test der heise-Security-Redaktion auf einem vollständig gepatchten Windows-XP-SP3-System mit dem Internet Explorer 8 und Windows Media Player den Taschenrechner öffnete. Betroffen ist laut Ormandy auch Windows Server 2003. Unter Windows 7 funktionierte der Exploit mit dem Internet Explorer 8 nicht.
Ormandy ist sich aber sicher, dass es nur weniger Anpassungen bedarf, um seinen Exploit auch auf anderen System zum Laufen zu bringen und "leiser" zu machen. Zudem seien Browser nur ein möglicher Weg, die Lücke auszunutzen. Microsoft soll seit dem 5. Juni über die Lücke informiert sein. Einen Patch gibt es noch nicht. Ormandy hat die Informationen aber schon jetzt veröffentlicht, weil er der Meinung ist, dass Angreifer die Lücke bereits untersucht haben und es derzeit das Beste sei, die Information schnell herauszugeben.
Als Workaround schlägt Ormandy vor, das Nachladen von Hilfedokumenten im Supportcenter zu deaktivieren. Dafür stellt er einen Hotfix bereit. Im Test von heise Security funktionierte der Exploit nach der Installation des Hotifx unter Windows XP nicht mehr. Allerdings kann es Fälle geben, in denen beispielsweise in Unternehmen die Funktion für Remote-Unterstützung notwendig ist. Ormandy macht in seinem Bericht Vorschläge für Alternativkonfigurationen.
Ormandy, der auch in Googles Sicherheitsteam arbeitet, machte in der Vergangenheit immer wieder mit ausgefeilten Exploits fĂĽr schwer ausnutzbare LĂĽcken von sich Reden. Zuletzt deckte er die LĂĽcke im Java Deployment Kit und der Windows Virtual DOS Machine auf.
[Update:]Microsoft hat ein Fix-it-Tool bereit gestellt, mit dem sich die Lücke temporär, bis zum Erscheinen eines Patches schließen lässt.
Siehe dazu auch:
- Microsoft Windows Help Centre Handles Malformed Escape Sequences Incorrectly
- Java-Exploit startet lokale Windows-Anwendungen
- Windows-LĂĽcke nach 17 Jahren gefunden
(dab)