Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Schwachstellen der neuen SP2-Sicherheitsfunktionen

Anwender sollten sich nicht auf die Warnung verlassen, die Windows XP mit Service Pack 2 neuerdings vor dem Öffnen von Dateien anzeigt, wenn diese aus dem Internet stammen.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 6 Min.
Security
Von
Inhaltsverzeichnis

Autor: Jürgen Schmidt, heise Security
Datum: 13.8.2004
Englische Version: http://www.heise.de/security/artikel/50051

Mit Service Pack 2 hat Microsoft eine neue Sicherheitsfunktion vorgestellt, die Anwender warnt, bevor sie Dateien ausführen, die aus dem Internet - also einer unsicheren Zone - stammen.

Die Umsetzung dieser Funktion weist zwei Schwachstellen auf: eine im Zusammenhang mit cmd und eine beim Caching im Windows Explorer. Die Windows Kommandozeilen-Shell cmd ignoriert Zonen-Information und startet Programme ohne Warnung. Das könnten Virenautoren ausnutzen, um die neuen Sicherheitsfunktionen zu umgehen und etwa E-Mail-Viren zur Ausführung zu bringen.

Der Windows Explorer aktualisiert zwischengespeicherte Informationen über die Zone einer Datei nicht, wenn diese überschrieben wird. Das kann dazu führen, dass er Dateien ohne Warnung ausführt, die aus dem Internet stammen.

Der Internet Explorer und Outlook Express markieren Dateien, die aus dem Internet heruntergeladen oder aus E-Mails gespeichert werden, mit einem Zone Identifier (ZoneID), der die Sicherheitszone angibt, aus der die Dateien stammen. Diese ZoneIDs entsprechen den bekannten Sicherheitszonen des Internet Explorer. Die ZoneID wird in einem Additional Data Stream (ADS) der Datei gespeichert. ADS sind ein spezielles Feature des Dateisystems NTFS. Die ADS mit den ZoneIDs heissen Zone.Identifier und lassen sich mit Notepad editieren, indem man ":Zone.Identifier" öffnet.

Startet ein Anwender eine Datei aus der Internet-Zone (ZoneID=3), erscheint eine Warnung. Der ADS ist persistent, das heisst, er bleibt auch erhalten, wenn man die Datei verschiebt -- solange sie dabei auf einem NTFS-Laufwerk bleibt. Die in Windows integrierten ZIP-Utilities beachten die ZoneID und extrahieren beispielsweise keine ausführbaren Dateien aus Archiven mit einer ZoneID größer oder gleich 3.

1. Das cmd-Problem

Die Windows-Kommandozeilen-Shell cmd.exe ignoriert die ZoneID von Dateien komplett. Der Befehl

cmd /c evil.exe

startet die Datei ohne eine Warnung -- egal welche ZoneID sie hat. Schlimmer noch: Wird eine ausführbare Datei als evil.gif gespeichert, startet

cmd /c evil.gif

das Programm ohne Warnung, trotz ZoneID=3. Das gilt für beliebige Dateierweiterungen. Dieses Ausführen von Dateien mit beliebiger Erweiterung ist kein neues Feature von Service Pack 2; es funktioniert mit allen Versionen von Windows XP.

Anmerkung: Outlook Express erlaubt es standardmäßig nicht, Dateien mit gefährlichen Erweiterungen wie .exe zu speichern. Ausführbare Dateien mit Endungen wie .gif lassen sich jedoch speichern. Explorer und Outlook Express zeigen die Datei dann als Bild an, beim Öffnen startet der zugeordnete Datei-Handler -- in diesem Fall der Bildbetrachter.

Um dieses Problem auszunutzen, ist ein Angreifer auf die Mithilfe seines Opfers angewiesen -- zumindest solange keine weiteren Fehler in Outlook Express oder Internet Explorer das Ausführen von cmd.exe mit Parametern ermöglichen. Doch die Virenbastler haben mit Viren wie Bagle & Co ihre Fähigkeiten zum "Social Engineering" hinreichend unter Beweis gestellt. Diese Schädlinge brachten Anwender dazu, ein Passwort einzugeben, um einen verschlüsselten Mail-Anhang zu öffnen. Ein Virenbastler könnte das cmd-Problem mit einer Mail wie folgender ausnutzen:

Anhang: Zugang.gif
Hallo,
im Anhang finden Sie die angeforderte Kopie der
Zugangsdaten. Aus Sicherheitsgründen haben wir das Bild
mit einer Transportsicherung versehen, sodass es sich
nicht direkt anzeigen lässt. Um es zu öffen, speichern
Sie den Dateianhang, öffnen unter Start/Ausführen
"cmd", ziehen das Bild mit der Maus auf das neue
Fenster und bestätigen mit der Eingabetaste. cmd wird
das Bild für Sie entpacken.

Folgt der Anwender den Anweisungen, wird das angehängte Programm ohne Warnung ausgeführt. Sie können eine solche Mail mit einem als GIF-Bild getarnten harmlosen Demo-Programm auf dem c't-Emailcheck anfordern.

Auch erfahrenere Anwender könnten auf diesen Trick hereinfallen, da sie nicht damit rechnen, dass ein "Bild" einen Virus transportieren kann, der sich noch dazu so einfach ausführen lässt. Des weiteren umgeht diese Vorgehensweise unter Umständen Antiviren-Software, die nur Dateien mit bekanntermaßen gefährlichen Erweiterungen untersucht beziehungsweise blockiert.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten