Erpressungs-Trojaner Erebus umgeht erfolgreich UAC-Abfrage von Windows
Sicherheitsforschern zufolge verbiegt Erebus die Windows-Registry dahingehend, sodass der Schädling schlimmstenfalls mit Admin-Rechten operieren kann. Dank einer Windows-Einstellung kann man das aber unterbinden.
Mit einem Kniff verschaffen die Malware-Entwickler von Erebus der Ransomware höhere Rechte auf Windows-Systemen, warnen Sicherheitsforscher des MalwareHunterTeam. Je nachdem, welche Rechte das zu diesem Zeitpunkt angemeldete Opfer hat, kann der Trojaner sein Unwesen im schlimmsten Fall sogar mit Admin-Rechten treiben. Aktuell ist unklar, wie sich Erebus verbreitet.
Die Masche des Erpressungs-Trojaners soll im Hintergrund ablaufen, sodass ein Opfer davon nichts mitbekommt. Dabei taucht den Sicherheitsforschern zufolge kein User-Account-Control-Fenster (UAC) von Windows auf. Demzufolge muss das Opfer den Start und die in diesem Fall damit verbundene Rechteerhöhung des Schädlings nicht abnicken.
Höhere Rechte erschleichen
Damit das im Verborgenen klappt, manipuliert der Malware-Installer den für den Dateityp .msc zuständigen Schlüssel im für Benutzer mit eingeschränkten Rechten beschreibbaren Teil der Registry. Dabei pflegt die Ransomware einen Verweis auf sich selbst ein, erläutern die Sicherheitsforscher.
Im Anschluss startet Erebus nicht sich selbst, sondern die Ereignisanzeige von Windows (eventvwr.exe). Die gehört zu jenen bordeigenen Anwendungen, die Windows auch ohne "Sind Sie sicher"-Nachfrage mit erhöhten Rechten startet. Das ist in diesem Fall ein Problem, weil Eventvwr.exe wiederum automatisch die Datei eventvwr.msc öffnet. Denn da der Dateityp *.msc durch die Registry-Manipulation auf die ausführbare Datei von Erebus zeigt, startet nun der Erpressungs-Trojaner mit den gleichen Rechten wie die Windows-Ereignisanzeige, die ihn unabsichtlich gestartet hat.
Der Schädling beginnt mit der Verschlüsselung und löscht anschließend die Schattenkopien von Windows. Diese könnten für Opfer unter gewissen Umständen ein Rettungsanker zum Wiederherstellen von Dateien sein. Vor dem Löschen der Schattenkopien taucht eigentlich eine "Sind Sie sicher"-Nachfrage auf.
Rechteerhöhung unterbinden
Der geschilderte Ansatz nutzt die unsichere Standardeinstellung der Benutzerkontensteuerung (User Account Control, UAC) von Windows aus; die UAC ist für die oben erwähnten Nachfragen verantwortlich. Der UAC-Dialog taucht in den Werkseinstellungen nur auf, wenn Anwendungen Änderungen am Computer vornehmen wollen; aber nicht, wenn ein Nutzer Änderungen an den Windows-Einstellungen vornehmen will.
Erst wenn man den Regler in den UAC-Einstellungen auf Maximum stellt, ploppt auch etwa beim Aufrufen von msc-Dateien ein UAC-Fenster auf und erfragt eine Erlaubnis. Im Fall von Erebus könnte ein potentielles Opfer die Ausführung an dieser Stelle durch einen Klick auf "Nein" verhindern. Demzufolge sollten Windows-Nutzer den Regler aus Sicherheitsgründen tunlichst auf die maximale Stufe einstellen. Den Schalter finden Sie in der Systemsteuerung unter "Benutzerkonten/Einstellungen der Benutzerkontensteuerung ändern" oder durch Eintippen von UAC ins Suchfeld des Startmenüs. (des)