Windows Update kompromittiert
Dem Super-Spion Flame gelang ein Kunststück, das bislang nur in Katastrophenszenarien skizziert war: andere Rechner über Windows Update zu infizieren. Virenexperten beschreiben nun, wie das gelang.
- Ronald Eikenberg
Den Entwicklern des Super-Spions Flame ist gelungen, was bisher nur in Katastrophenszenarien versierter Sicherheitsexperten skizziert war: die Infektion von Windows-Systemen über die eingebaute Aktualisierungsfunktion Windows Update. Die Virenforscher von Symantec haben nun herausgefunden, wie Flame dieses Kunststück fertiggebracht hat: Über eine Funktion des Internet Explorer, durch die er Proxy-Server im lokalen Netz automatisch aufspürt.
(Bild: Symantec)
Der Internet Explorer nutzt dazu das sogenannte Web Proxy Auto-Discovery Protocol (WPAD), um einen eventuell vorhandenen Proxy-Server im lokalen Netz aufzuspüren. Dazu versucht er die Einstellungsdatei wpad.dat von einem Rechner namens wpad innerhalb der gleichen Domäne abzurufen. Die IP-Adresse von wpad fragt er zuvor über den DNS-Server ab. Wenn dieser keinen passenden Eintrag hat, versucht der IE die IP anschließend über einen NetBIOS-Broadcast zu erfahren.
Auf dem bereits infizierten System lauert die Flame-Komponente Snack auf genau solche Anfragen. Snack beantwortet die Anfrage und gibt sich selbst als Rechner "wpad" aus. Anschließend sendet Snack die Datei wpad.dat an das potentielle Opfer, in der die IP des bereits infizierten Systems als Proxy angegeben ist. Um den fortan eingehenden Datenverkehr kümmert sich der Flame-Proxy Munch. Damit das zukünftige Opfer keinen Verdacht schöpft, leitet Munch den meisten Traffic schlicht durch.
Bestimmte Anfragen leitet der Schädling allerdings um: So landen die Verbindungsversuche mit Windows Update bei der Komponente Gadget, welche die Verfügbarkeit eines Systemupdates vorgaukelt. Versucht das Opfer das vermeintliche Update abzurufen, schickt Gadget das Infektionsprogramm Tumbler an den Opferrechner, der es daraufhin klaglos ausführt.
Der Opferrechner hält Tumbler für ein legitimes Systemupdate von Microsoft, da es mit einem gültigen Zertifikat des Unternehmens signiert wurde. An das Zertifikat sind die Flame-Entwickler offenbar durch ein Versäumnis von Microsoft gelangt: Bei einem Dienst für Unternehmenskunden hat Microsoft vermutlich beim Signieren von Zertifikaten noch den MD5-Hash genutzt, der bereits seit langer Zeit als unsicher gilt. Dadurch konnte die Virenschreiber vermutlich mittels einer Kollisionsattacke ein falsches Zertifikat ausstellen, das sich zum Signieren von Schadcode eignet.
Tumbler prüft unter anderem, ob auf dem System ein Antivirensoftware installiert ist und lädt schließlich die eigentliche Flame-Malware von dem bereits infizierten Rechner nach. In Teilen war dieser Angriff bereits bekannt: etwa hat ein Sicherheitsexperte bereits im Jahr 2009 beschrieben, wie man gegenüber anderen Rechner im Netz über WPAD und NetBIOS als Proxy ausgibt. Auch der Kollisionsangriff auf SSL-Zertifikate ist nicht neu.
Das Puzzle konnten allerdings erst die Flame-Entwickler zusammensetzen: Sie entdeckten den anfälligen Algorithmus in der Infrastruktur von Microsoft, der die geeigneten Zertifikate ausstellte. Als erste Reaktion hat Microsoft bereits einen Notfallpatch herausgegeben, der den betroffenen Sub-CAs das Vertrauen unter Windows entzieht. Dadurch fällt Windows nicht länger auf die gefälschten Updates rein.
Darüber hinaus will das Unternehmen die Sicherheit des Windows-Updaters durch weitere Schutzmaßnahmen weiter ausbauen. Hierzulande besteht kaum eine Gefahr, sich über Windows Update mit Schadcode zu infizieren: Flame ist ein Spionagewerkzeug, das nach bisherigem Kenntnisstand vor allem im Nahen Osten und nur für gezielte Aktionen eingesetzt wurde. (rei)
