Cybellum verkauft Autostart-Funktion als Zero-Day
Mit kräftigen Worten, einem eigenen Namen und Logo und dem Prädikat "Zero-Day" stellt Cybellum eine Technik vor, mit der sich Malware in einem Windows-System verankern lässt - nachdem sie bereits die Kontrolle übernommen hat.
(Bild: Cybellum)
Die von der Sicherheitsfirma Cybellum "DoubleAgent" getaufte Technik ist keine Sicherheitslücke im eigentlichen Sinn und schon gar kein Zero-Day – also eine Sicherheitslücke, die Angreifer ausnutzen, bevor der Hersteller davon weiß. Vielmehr handelt es sich um eine so von Microsoft beabsichtigte Methode, Windows anzuweisen, beim Start eines Programms eine Bibliothek mitzuladen. Diese kann dann – so der eigentliche Einsatzzweck – deren Verhalten überwachen und bei der Fehlersuche helfen.
Die Funktionsweise ist einfach: Über Registry-Keys lässt sich Windows anweisen, mit einem bestimmten Programm immer eine zusätzliche Bibliothek zu laden. Diese Bibliothek läuft dann innerhalb des Prozesses und hat dessen volle Rechte. Microsoft hat dies als Debug-Möglichkeit für Programme eingeführt, für die kein Quelltext vorliegt. Da lädt Visual Studio dann einen sogenannten Application Verifier zum Programm dazu. Wer das selbst ausprobieren möchte, kann sich bei Cybellums GitHub-Projekt bedienen.
Ein weiterer Autostart
Wie mit jedem anderen Autostart-Mechanismus auch, könnte sich über diesen "Application Verifier" auch Schad-Software im System verankern. Diese läuft dann innerhalb des Zielprozesses, hat dessen volle Rechte und kann diesen kontrollieren. Anders als bei Exploits für echte Sicherheitslücken, über die sich
Malware etwa Zugang zum System oder erweiterte Rechte verschafft, werden dabei keine Sicherheitsgrenzen überschritten. Vielmehr funktioniert Windows genau so, wie es soll. Wenn Malware diese Funktion nutzt, ist das Kind längst in den Brunnen gefallen. Es wäre also höchst verwunderlich, wenn Microsoft auf die Veröffentlichung von "DoubelAgent" mit einem Patch reagieren würde.
Update 23.3.2017, 18:20: Der Mechanismus und die damit verbundene Missbrauchsmöglichkeit wurde bereits 2015 von Alex Ionescu auf der Recon-Konferenz vorgestellt.
Das CERT-Bund warnt, dass eine Reihe von Antiviren-Programmen durch den Application-Verifier-Mechanismus gefährdet ist, "da die Hersteller den von Microsoft empfohlenen 'Protected Processes'-Schutzmechanismus nicht verwenden, der die ausschließliche Verwendung signierten Programmcodes vorsieht". AV-Programme sollten demnach versuchen, sich gegen derartiges Einschleusen von Code besonders zu schützen. (ju)
