Black Hat: Windows-10-Assistent Cortana reißt Sicherheitslücken auf
Auf der Black Hat in Las Vegas haben Forscher mehrere Lücken in Cortana aufgedeckt. So lässt sich zum Beispiel Schadcode über den Sprachassistenten ausführen.
- Uli Ries
Gleich auf vier verschiedenen Wegen ließ sich Microsofts Sprachassistent Cortana – fester Bestandteil von Windows 10 – dazu überreden, Unberechtigten den Zugriff auf einen gesperrten Windows-PC zu verschaffen. Auf diesem Wege kann man dann auch Malware zu installieren. Während der IT-Sicherheitskonferenz Black Hat in Las Vegas demonstrierte das Team des Technion Israel Institute of Technology um Professor Amichai Shulman, wie leicht sich einem gesperrten Windows-Rechner mittels Sprachkommandos vertrauliche Daten entlocken lassen.
Spaß mit Cortana
Drückt ein Angreifer direkt nach dem Aktivieren von Cortana ("Hey, Cortana?") beliebige Tasten auf der Tastatur, öffnet sich der Suchdialog des Betriebssystems. Dieser zeigt dann beispielsweise Vorschau-Bilder von Fotos oder auch Textdokumenten – ohne dass der Angreifer hierzu das Passwort des angemeldeten Nutzers kennen muss. Steckt der Angreifer einen USB-Stick an den Rechner, lässt sich auf gleichem Weg über die Suchfunktion der vollständige Dateipfad einer auf dem Stick gespeicherten Datei eingeben – dann kann der Angreifer die Datei durch einen Klick ausführen. Zwar würde Windows im Zweifelsfall verdeckt hinter dem Sperrbildschirm per UAC nach dem Passwort des Administrators fragen. Weil aber Schwachstellen für Rechteerhöhungen vorhanden sind, verhindert dies nicht die Installation von beliebiger Software.
Infizieren lässt sich der Rechner auch, wenn der Angreifer einen eigenen PC zum Man-in-the-Middle macht und den Rechner des Opfers per Sprachkommando eine beliebige Nicht-HTTPS-Webseite öffnen lässt. Der Man-in-the-Middle kann diese Anfrage auf eine bösartig manipulierte Seite umleiten, die dann per Exploit Pack nach Schwachstellen sucht und bei Erfolg Malware einschleust. Ist ein Rechner im Netzwerk auf diese Art infiziert, kann er als Sprungbrett für weitere Cortana-Attacken dienen.
Die Forscher nutzten etwa das Remote Desktop Protocol, um Sprachkommandos direkt an weitere Opfer zu schicken. Ohne hierfür das Mikrofon des Zielrechners verwenden zu müssen. Der vierte Angriffspfad bediente sich eines bösartigen Cortana Skills, das die Angreifer zuvor zum Cortana-Channel hinzufügten und dann per Sprachkommando aktivierten. Selbst die Freigabe der Installation des nicht vertrauenswürdigen Plug-Ins holte sich Cortana per Sprachkommando vom Angreifer ab.
Microsoft hat seinen Sprachassistenten gefixt
Sämtliche der beschriebenen Bugs hat Microsoft jeweils wenige Wochen nach vertraulicher Bekanntgabe durch die Forscher behoben. Entweder durch ein Windows-Update, oder durch Änderungen an der Cloud-Infrastruktur, auf die Cortana zugreift. Im Fall des Bugs in der Suchfunktion zahlte Microsoft auch eine Finderprämie aus – die vom Team dann zum Decken der Reisekosten für den Trip nach Las Vegas verwendet wurde.
Laut Professor Amichai Shulman haben seine Studenten noch weitere Cortana-Sicherheitslücken an Microsoft gemeldet. Nachdem diese noch nicht per Update geschlossen wurden, gaben die Forscher keine weiteren Details bekannt. Sie raten aber dazu, Cortana bei gesperrtem Rechner zu deaktivieren. (fab)
