Windows 10: Was ist neu im Sicherheitssystem?

Inhalt

Die Sicherheit des Betriebssystems hat bei Microsoft höchste Priorität. Für die neueste Version von Windows haben sich die Entwickler an den aktuellsten Cyberbedrohungen für die Windows-Plattform orientiert. Dabei haben sie eine Vielzahl von Schutztechnologien umgesetzt, die früher nur in Lösungen von Drittanbietern verfügbar waren. Das Betriebssystem ist sicherer geworden, die Arbeit der Cyberkriminellen schwerer.

Trotzdem sind die Betriebssystem-eigenen Mittel in einigen Fällen nicht ausreichend. Die Entwickler müssen in vielerlei Hinsicht Kompromisse eingehen, was sich wiederum negativ auf die OS-Sicherheit auswirkt und den Einsatz externer IT-Sicherheitslösungen unerlässlich macht.

Aufgrund seiner weiten Verbreitung ist und bleibt Windows das Lieblingsziel Cyberkrimineller aller Couleur. Jede neue Version wird sorgfältig von tausenden von „Black Hats“ unter die Lupe genommen, die auf der Suche nach neuen Verdienstmöglichkeiten sind. Doch auch die „White Hats“, für die Windows das wichtigste Schlachtfeld im Kampf gegen ihre kriminellen Pendants ist, untersuchen sie genau. Selbstverständlich analysieren auch wir, die Experten von Kaspersky Lab, immer wieder und peinlich genau alle von Microsoft vorgenommenen Veränderungen im Sicherheitssystem von Windows, um unseren Kunden den bestmöglichen Schutz vor Cyberbedrohungen bieten zu können.

Unser Überblick untergliedert sich in drei Teile, die jeweils den wichtigsten die Sicherheit betreffenden Neuerungen von Windows 10 gewidmet sind. Das sind der Browser Microsoft Edge, die Sicherheitstechnologie auf der Grundlage von Virtualisierung und die integrierte Antivirus-Lösung, der aktualisierte Windows Defender. Alle drei haben das Sicherheitssystem von Windows verbessert, doch sind leider auch nicht ohne Schwachpunkte. Im Folgenden betrachten wir anhand von Beispielen, wie die Schutztechnologien von Windows 10 funktionieren und wie sie ausgebaut werden können, um die Systemsicherheit mit Hilfe von Drittlösungen zu verbessern.

Microsoft Edge

Der neue Browser Microsoft Edge soll den Internet Explorer ablösen und ist der Standardbrowser in Windows 10. Microsoft hat große Arbeit geleistet und eine Vielzahl von Neuerungen umgesetzt, die unter anderem auch die Sicherheit betreffen.

Zur Abwehr von Cross-Site-Scripting-Attacken verwendet Edge die Technologien Content Security Policy und HTTP Strict Transport Security. Sie sollen nicht nur die Wahrscheinlichkeit einer erfolgreichen Attacke verringern, sondern den Anbieter des betroffenen Webdienstes auch über einen solchen Angriffsversuch informieren.

Zudem bietet Edge auch einen Schutz vor Exploits, also vor Attacken, unter denen der Internet Explorer stets zu leiden hatte. Dank der Verwendung von Containern und der Verlagerung der Content-Verarbeitung in verschiedene Prozesse ist es jetzt wesentlich schwieriger, Sicherheitslücken auszunutzen. Zusätzlich soll die Integration von SmartScreen das Aufrufen von Webseiten verhindern, auf denen schädliche Inhalte liegen.

Neben der Unterstützung neuer Technologien wird die Sicherheit von Edge auch durch den Verzicht auf alte, verwundbare Technologien gestärkt. Nicht mehr unterstützt werden VML, BHO, ActiveX, auf denen eine Menge von Werbe-Apps und schädliche Browser-Erweiterungen basieren.

Doch die Sicherheit eines Browsers wird durch seine Fähigkeit definiert, reale Attacken abzuwehren. Die meisten Schadprogramme, die auf den Diebstahl von Finanzmitteln über das Internet-Banking spezialisiert sind, funktionieren erfolgreich den gängigen Browsern, wie z.B. dem Internet Explorer, Chrome, Firefox, Opera. Das gilt sowohl für den alten, von Virenschreibern aber nach wie vor eingesetzten Schädling Zeus (Zbot) als auch für den berüchtigten Banking-Trojaner Dyreza (Dyre) und den P2P-Bot Cridex (Dridex).

Die Funktionalität eines typischen Bank-Schädlings läuft auf die Umsetzung von MiTB-Attacken (Man-in-The-Browser) hinaus. Die meisten Banker schleusen zu diesem Zweck ihren Code in den Browserprozess ein und fangen Funktionen der Netzwerkkommunikation ab. Diese Funktionen sind in den unterschiedlichen Browsern allerdings auch auf unterschiedliche Weise umgesetzt, was die Virenautoren dazu zwingt, ihre Malware ständig zu modifizieren und zu aktualisieren, damit sie mit allen möglichen Browsern und deren Versionen reibungslos funktioniert.

Im November 2015 machte die Nachricht die Runde, dass dem Trojaner Dyreza eine Funktionalität hinzugefügt worden war, die Angriffe auf Microsoft Edge ermöglicht. Die Aktivität dieses Botnetzes ging allerdings bald darauf gegen Null zurück – die Veröffentlichung von Updates wurde gestoppt und die Command-und-Control-Server wurden abgeschaltet.

Kronos, ein anderer bekannter Bank-Schädling, griff Edge im laufenden Jahr 2016 erfolgreich an. Wir haben seine Möglichkeiten auf einer virtuellen Maschine mit Windows 10 getestet. Im Code der neuen Kronos-Version fanden wir eine Funktion zur Überprüfung des Prozessnamens und der Prüfsumme sowie der Hashes der abzufangenden Funktionen.

Windows 10: Was ist neu im Sicherheitssystem?

Funktion zur Bestimmung des Browsers aufgrund der Prüfsumme und seines Prozessnamens

Kronos überprüft den Prozessnamen, indem er ihn in Kleinbuchstaben umwandelt, daraus die Prüfsumme berechnet und sie potenziert. Der erhaltene Hash wird anschließend in einer Hashtabelle gesucht. Wird er dort gefunden, so versucht der Trojaner, die Funktionen im Prozess abzufangen, die er benötigt.

Die dem Trojaner bekannten Browser-Prozessnamen:

Prozessname Prüfsumme
iexplore.exe 0x64302d39
chrome.exe 0x05d66cc4
firefox.exe 0x39ace100
opera.exe 0x9420a4a1
microsoftedge.exe 0x9b6d5990
microsoftedgecp.exe 0x949b93d9

Um die schädlichen Aktionen durchführen zu können, die seinem Betreiber Geld einbringen, fängt Kronos die Prozesse zum Erstellen und Versenden der HTTP-Anfragen in der Bibliothek Wininet ab.

Liste der abzufangenden Funktionen von wininet.dll:

API-Funktion Hash
HttpOpenRequestA Y7D4D7E3T2T2A4U3
HttpQueryInfoA C8C0U1A2G4G5Y2B5
HttpSendRequestA Y4U1P2F2G7T2A4U3
InternetCloseHandle A7S3H3X3D5Y7T7F7
InternetConnectA H0S6D5Q7E8P3P6U5
InternetCrackUrlA E6F2A3S8Y4C7D5A5
InternetOpenA B7P8P7T4E3U2H5A5
InternetQueryOptionA C1Y0B7E2B0P2P3T7
InternetReadFile D6X2S6E3Q3C5B5X2
InternetSetOptionA X3Y6Q2T7Q5Q2A5X6

Kronos fängt die Funktionen mit der Splicing-Methode ab, indem er eine unbedingte Sprunganweisung (JMP) an den Anfang des Codes stellt. Der in den Browser eingeschleuste Schadcode wird nicht wie eine Bibliothek geladen, sondern wie Shell-Code. Daher gerät sein Start auch nicht mit der auf dem Browser installierten Mitigation Policy in Konflikt.

Windows 10: Was ist neu im Sicherheitssystem?

Abfangen der Funktion InternetReadFile in MicrosoftEdgeCP.exe

Windows 10: Was ist neu im Sicherheitssystem?

Routine der abgefangenen Funktion

Ein erfolgreiches Abfangen dieser Funktionen ermöglicht es dem Trojaner, Daten in die Webseiten einzuschleusen. Zudem erhält Kronos Informationen über den Anwender, seine Anmeldedaten und sein Passwort sowie über seine seine Kontoumsätze. Zudem leitet der Schädling den Browser auf eine Phishing-Seite um und fügt der legitimen Bankseite ein weiteres Eingabefeld hinzu (wodurch er die Antwort auf die Sicherheitsabfrage, die Nummer der Bankkarte sowie das Geburtsdatum des Anwenders oder seine Telefonnummer herausfinden kann).

Windows 10: Was ist neu im Sicherheitssystem?

Beispiel einer Code-Einschleusung auf der Webseite einer Bank

Kronos kann Edge allerdings nur auf der 32-Bit-Version von Windows 10 angreifen. Das ist jedoch keine fundamentale Einschränkung, es gibt auch schon Bank-Schädlinge, die mit der 64-Bit-Version von Edge funktionieren.

Zu Beginn des Jahres erschien eine neue Modifikation des bekannten Bank-Trojaners Gozi, der unter anderem MitB-Attacken auf die 64-Bit-Version von Edge durchführen konnte. Der Trojaner schleust seinen Code in den Prozess RuntimeBroker.exe ein, in dessen Namen er dann den Browser startet und sich in den Browserprozess selbst einschleust.

Windows 10: Was ist neu im Sicherheitssystem?

Teil der Funktion zur Überprüfung der Prozessnamen zur Einschleusung

Der eingeschleuste Code fängt die Funktion zur Erstellung und Versendung der HTTP-Anfragen ab, wie es auch bei Kronos der Fall ist. Doch zu diesem Zweck wird kein Splicing eingesetzt, sondern stattdessen die IAT-Pointer sowie die Funktionsadressen in der Exporttabelle ausgetauscht.

Windows 10: Was ist neu im Sicherheitssystem?

Teil der Funktion zur Überprüfung der Prozessnamen für die Installation der jedem Browser entsprechenden Abfangmechanismen

Windows 10: Was ist neu im Sicherheitssystem?

Abfangen von HttpSendRequestW durch den Bank-Trojaner Gozi im Browser Microsoft Edge

Windows Defender kann die aktuellen Versionen von Kronos und Gozi erfolgreich blockieren. Es ist jedoch zu erwarten, dass neue Schädlinge und Werbe-Apps auftauchen werden, die in der Lage sind, Edge zu ihren Zwecken auszunutzen.

Virtualisierungsbasierte Sicherheit

In Windows 10 Enterprise, der Windows-Version für Unternehmen, hat Microsoft mit Hyper-V einen neuen Sicherheitsansatz umgesetzt, der auf Hardwarevirtualisierung basiert. Das neue Paradigma mit der Bezeichnung Virtualisierungsbasierte Sicherheit (Virtualization Based Security, VBS), fußt auf dem Mechanismus Weißer Listen. Das heißt, auf dem Computer wird ausschließlich der Start von Anwendungen aus der Liste vertrauenswürdiger und in der Isolation wichtigsten Services sowie von Daten anderer Komponenten des Betriebssystems erlaubt.

Die VBS ist abhängig von der Plattform und den Funktionen der CPU. Damit diese Sicherheitstechnologie funktioniert, müssen daher die folgenden Systemanforderungen erfüllt sein:

  • Windows 10 Enterprise als Betriebssystem
  • UEFI-Version 2.3.1 oder höher, mit Unterstützung von Secure Boot
  • Ein Prozessor mit den folgenden Merkmalen:
    • Virtualisierungsfunktionen Intel VT-x/AMD-V
    • 64-Bit-Architektur
    • SLAT-Unterstützung (Second Level Address Translation)
    • Intel VT-d/AMD-Vi IOMMU (optional)
  • Die Möglichkeit, einige Funktionen der UEFI-Firmware zu blockieren und sie sicher zu aktualisieren
  • TPM (optional)

Als Virtualisierungsplattform verwendet Microsoft den Hypervisor Hyper-V. Je weniger Code Hypervisoren enthalten, desto weniger Angriffsfläche bieten sie. Unter diesem Gesichtspunkt ist die Kompaktheit von Hyper-V sehr von Vorteil. Im Gegensatz zu früheren Windows-Versionen startet der Hypervisor nicht wie ein Treiber im Kernel-Mode, sondern im UEFI-Modus, während eines frühen Stadiums des Systemstarts.

Windows 10: Was ist neu im Sicherheitssystem?

Initialisierungsprozedur von Hyper-V

Bei der VBS verbindet jeder aktive Hypervisor mit jedem virtuellen Prozessor einen Virtual Trust Level (VTL), von denen aktuell zwei definiert sind: VTL 1 („sichere Welt“) und VTL 0 („normale Welt“). VTL 1 ist privilegierter als VTL 0.

Der Secure Kernel Mode (oder SKM, Ring 0, VTL 1) umfasst nur einen minimalen Kernel (SK), ein Modul zur Überprüfung der Codeintegrität (Code Integrity oder CI) und ein Verschlüsselungsmodul. Der Isolierte Benutzermodus (Isolated User Mode oder IUM, Ring 3, VTL 1) enthält bestimmte isolierte Prozesse, so genannte Trustlets, die nicht nur von der äußeren Welt isoliert sind, sondern auch voneinander. In der „normalen Welt“ (VTL 0) laufen der traditionelle Kernel, Kernel-Mode-Treiber, Prozesse und Services, die gemäß den früheren Regeln laufen.

Windows 10: Was ist neu im Sicherheitssystem?

Schematische Darstellung der zwei VTL-Welten

Bei aktivem Hypervisor werden die physischen Pages des Arbeitsspeichers und ihre Attribute nur von dem sicheren isolierten Kernel (SK) kontrolliert. Er kann die Page-Attribute manipulieren, indem er das Lesen, das Schreiben sowie die Ausführung von Code auf einer bestimmten Page erlaubt oder verbietet. Dadurch können der Start von nicht vertrauenswürdigem Code, die schädliche Modifikation des Codes vertrauenswürdiger Anwendungen sowie das Abfließen geschützter Daten verhindert werden.

In dieser Architektur ist die einzige Komponente, die die Ausführung von beliebigem Code im System kontrolliert, das sichere isolierte Modul zur Überprüfung der Codeintegrität (CI). Der Kernel aus der „normalen Welt“ kann der physischen Page des Kernel-Mode keine Attribute zuteilen.

Credential Guard

Eins der wichtigsten Features der VBS ist der Credential Guard, der kryptografische Geheimnisse so isoliert, dass ausschließlich vertrauenswürdiger Code darauf zugreifen kann. Dadurch können Speicherdirektzugriff-Attacken (DMA) sowie Attacken des Typs Pass-the-Hash verhindert werden.

Windows 10: Was ist neu im Sicherheitssystem?

Systeminformation. Credential Guard und HVCI

Wir haben die Technik getestet und versucht, mittels Speicherdirektzugriff an geheime Daten zu kommen. Zu diesem Zweck benutzten wir die Hacker-Tools Mimikatz und Inception. Es hat nicht funktioniert. Sie waren Credential Guard nicht gewachsen.

Windows 10: Was ist neu im Sicherheitssystem?

DMA-Attacke unter Verwendung des Tools Inception

Device Guard

Die ebenfalls zu der VBS gehörende Technologie Device Guard ist der Nachfolger von Microsoft AppLocker. Sie kontrolliert die Ausführung jedes beliebigen Codes: ausführbare Dateien, dynamische Bibliotheken, Kernelmodustreiber und Skripte (beispielsweise PowerShell). Zu diesem Zweck werden vom Systemadministrator vordefinierte Richtlinien für die Codeintegrität verwendet, die festlegen, welche Software als vertrauenswürdig gilt.

Die Hauptschwierigkeit beim Einsatz von Device Guard besteht in der korrekten Definition der Richtlinien, die selbst erfahrene Systemadministratoren vor Probleme stellen kann. Im Idealfall läuft die Prozedur folgendermaßen ab:

  1. Die notwendigen Mechanismen in der VBS von Windows 10 werden auf einem separaten Testcomputer aktiviert.
  2. Ein Referenzmuster von Windows wird erstellt.
  3. Die notwendige Software wird installiert.
  4. Eine Codeintegritäts-Richtlinie wird nach bestimmten Regeln erstellt und für eine gewisse Zeit im Audit-Modus belassen. Während dieser Zeit kann die Software ergänzt oder verändert werden.
  5. Das Ereignisprotokoll wird auf Ereignisse von der CI überprüft.
  6. Abschlussarbeiten an der Richtlinie werden durchgeführt, wie etwa das Signieren nicht signierter Software.
  7. Die ursprüngliche Richtlinie wird mit der Version vereint, die während der Arbeit im Audit-Modus erstellt wurde.
  8. Der Audit-Modus wird in der Richtlinie der Codeintegrität ausgeschaltet und es wird in den Deny-Modus umgestellt.
  9. Die so erstellte Richtlinie wird unter den Endanwendern verbreitet.

Die Codeintegrität-Richtlinie definiert die Bedingungen für den Start von Code, und zwar sowohl im Benutzer-Modus (User Mode Code Integrity oder UMCI) als auch im Kernel-Modus (Kernel Mode Code Integrity oder KMCI). Das sichere Laden des Windows-Kernels selbst wird durch die Secure-Boot-Technologie gewährleistet. Die Integritäts-Richtlinie muss unbedingt in Abhängigkeit von den Anforderungen an die Software einer konkreten Organisation unterstützt und aktualisiert werden.

Neben der Integritäts-Richtlinie gibt es auch noch andere Einschränkungen für den Start von Code. So erhält die Page des physischen Speichers das Attribut „Ausführung“ nur in dem Fall, wenn eine Zertifikatsechtheitsprüfung stattgefunden hat. Zudem kann die Page des Kernelmodus nicht gleichzeitig die Attribute „Schreiben“ und „Ausführen“ haben (W^X), was die meisten Exploits und Abfänger im Kernelmodus an ihrer Arbeit hindert. Bei dem Versuch, den Inhalt der Seite des Kernelmodus in die Attribute „Lesen“ und „Ausführen“ zu ändern, erscheint eine Ausnahme. Wird diese nicht behandelt, stürzt Windows ab und zeigt den BSOD.

Das bedeutet, dass es bei aktivem Hypervisor und bei allen aktiven Sicherheitsoptionen wie zum Beispiel Secure Boot, TPM, IOMMU und SLAT nicht möglich ist, unsignierte Treiber, Anwendungen, dynamische Bibliotheken sowie einige Skript-Arten und UEFI-Module zu starten. In Abhängigkeit von der Konfiguration der Richtlinie kann auch signiertem, aber nicht vertrauenswürdigem Code der Start untersagt werden.

Um die Richtlinie vor nicht sanktionierten Veränderungen oder einem Austausch zu schützen, schlägt Microsoft vor, sie mit einem Zertifikat zu signieren, das der Administrator selbst generiert. Um die Richtlinie zu löschen oder die Einstellungen zu verändern, ist eine weitere Richtlinie erforderlich, die mit demselben Zertifikat signiert wurde. Wird versucht, die Richtlinie zu löschen oder dem System eine nicht signierte Richtlinie „unterzuschieben“, wird das Betriebssystem nicht geladen.

Doch als völlig makellos kann man Device Guard nicht bezeichnen. Für einen verbesserten Schutz zahlt man mit schlechterer Performance, was angesichts des Vorhandenseins eines Hypervisors unvermeidlich ist. Als Schwachpunkt der Technologie erweist sich der ungewöhnlich verworrene Prozess zur Erstellung, Konfiguration und Unterstützung der Codeintegritäts-Richtlinie. Die notwendigen Optionen sind über verschiedene Orte im Betriebssystem verstreut und es gibt keine Steuerzentrale. Daher sind schnell Fehler gemacht, so dass auch die Sicherheit in Mitleidenschaft gerät.

Da Secure Boot bei dieser Technologie eine Schlüsselrolle spielt, hängt das Schutzniveau stark von der Qualität des UEFI-Codes ab, der von einer dritten, von Microsoft nicht kontrollierten Partei geschrieben wird. Und schließlich ist auch das Fehlen eines Schutzes vor Exploits im Anwendermodus bedauerlich.

Wir testen die VBS

Wenn Schadcode über eine Sicherheitslücke auf einen mit VBS ausgestatteten Computer eindringt, so muss er seine Privilegien auf Kernelmodus erhöhten, um den Hypervisor, die „sichere Welt“ oder das UEFI angreifen zu können. Wir haben versucht, etwas Derartiges mit Hilfe eines signierten und vertrauenswürdigen Kernelmodustreibers zu tun.

Die Ergebnisse des PEN-Tests aus dem Kernelmodus:

Test Ergebnis Test Ergebnis
W+X PE section .INIT + (by design) Allocate NP/P MEM, hack PTE manually + (BSOD)
W^X PE section .INIT + (as is) R+X section, remove WP in CR0 + (BSOD)
W+X PE section + (no start) Stack code execution + (BSOD)
Allocate MEM, execute + (BSOD) Allocate MEM, hack MDL manually + (BSOD)
R PE section, write, execute + (BSOD)

Keine der von uns ausprobierten Angriffsarten hat funktioniert. Ebenso wenig hatten wir Erfolg mit Attacken mittels Änderung der Kontroll-Register (Control Registers, CR0-CR8, EFER und so weiter) und der modellabhängigen Register (Model-Specific Registers oder MSR) – die Sache endete stets mit der Ausnahme Privileged Instruction (0xC0000096).

Außerdem führten wir eine Reihe von Tests im Anwendermodus durch und versuchten, die Codeintegritätspolitik im Deny-Modus zu umgehen. Die Aufgabe bestand darin, eine nicht signierte Anwendung zu starten oder eine nicht signierte dynamische Bibliothek in einen vertrauenswürdigen Prozess zu laden. Auf direktem Wege hat das nicht funktioniert, aber in der vorläufigen Version von Windows 10 (10154) entdeckten wir einen interessanten Fehler.

Der Fehler besteht darin, dass Device Guard zwar überprüft, ob eine Anwendung, ein Treiber oder eine Bibliothek signiert ist, aber nicht sicherstellt, ob die Signatur für die mit ihr signierte Anwendung Gültigkeit hat. Dadurch wird es möglich, eine gültige Signatur aus jeder beliebigen vertrauenswürdigen Anwendung herauszuschneiden und sie in jede beliebige nicht vertrauenswürdige einzusetzen – das System wird sie als vertrauenswürdig betrachten. Indem wir also eine Signatur von einer anderen Anwendung einfügten, konnten wir eine nicht vertrauenswürdige Applikation starten und auch eine nicht vertrauenswürdige Bibliothek laden.

Wir haben Microsoft umgehend über den gefundenen Fehler informiert und er wurde innerhalb weniger Tage korrigiert. In der RTM-Version von Windows 10 (10240) ist er nicht mehr enthalten.

Zudem haben wir eine DoS-Sicherheitslücke gefunden, die es aus der Anwenderumgebung heraus ermöglicht, einen Systemstopp und einen BSOD des Hypervisors hervorzurufen, und zwar mit Hilfe nur eines Assemblerbefehls. Dieser Fehler wurde in Windows 10 TH2 (10586) korrigiert.

Windows 10: Was ist neu im Sicherheitssystem?

BSOD des Hypervisors

Insgesamt leistet Microsoft hervorragende Arbeit bei der Entwicklung neuer Schutzmechanismen. Doch wie auch in den vorangegangenen Versionen bestehen auch unter Windows 10 Angriffsmöglichkeiten über die Firmware. Ein weiteres Problem sind die hohen Anforderungen an die Qualifikation des Systemadministrators. Bei nicht korrekter Konfiguration oder bei Verlust des privaten Zertifikats wird der ganze Schutz hinfällig. Zudem gibt es keinerlei Schutz vor Sicherheitslücken im Anwendermodus. Hinzu kommt, dass die VBS ausschließlich Nutzern der Unternehmensversion, Windows 10 Enterprise, zur Verfügung steht.

Wir haben Microsoft über alle während des Testens gefundenen Sicherheitslücken informiert.

In Windows integrierter AV-Schutz

Wenden wir uns nun der Windows-Komponente zu, die einen in Echtzeit-Schutz des Betriebssystems vor Malware gewährleistet. Die Komponente ist standardmäßig aktiviert und stellt für Nutzer, die auf die Installation von Dritt-AV-Lösungen verzichten, das wichtigste Mittel der Informationssicherheit in Windows dar.

Die Hauptaufgabe des integrierten Schutzes besteht darin, die Installation und den Start von Schadsoftware zu verhindern. Die Lösung scannt in Echtzeit Dateien und laufende Prozesse und filtert dabei in Übereinstimmung mit den regelmäßig aktualisierten Signatur-Datenbanken die schädlichen darunter heraus. Und in den meisten Fällen ist dieser Schutz ausreichend.

Wenn Sie allerdings ein aktiver Internetnutzer sind und auf Ihrem Computer häufig kritisch wichtige Operationen durchführen, zum Beispiel Ihre Bankgeschäfte online abwickeln, so benötigen Sie einen Schutz auf mehreren Ebenen. Auch das modernste Antiviren-Programm kann einen neuen, bisher unbekannten Schädling durchlassen. Und in diesem Fall hilft nur ein zusätzlicher Schutzlevel, der den Trojaner daran hindert, seine schädliche Aktivität im System zu entfalten.

Die Kaspersky-Experten haben eine kleine Untersuchung durchgeführt und einige Beispiele aus dem wahren Leben gefunden, in denen sich der in Windows 10 integrierte Schutz als unzureichend erweisen könnte.

Abfangen der Dateneingabe über die Tastatur

Um die Zugangsdaten des Nutzers für das Online-Banking-System zu stehlen, fangen einige Bank-Schädlinge die über die Tastatur eingegeben Daten ab. Dazu gehören unter anderem Qadars, Zbot und Cridex. In vielen Antiviren-Lösungen, darunter auch in Kaspersky Internet Security, gibt es eine Komponente, die Versuche von Programmen registriert und blockiert, Tastureingaben des Anwenders abzufangen. In einigen Fällen mag das ausreichen, um zu verhindern, dass sich Cyberkriminelle auf Kosten ihres Opfers bereichern, auch wenn es ihnen gelungen ist, dessen Computer zu infizieren.

Wir haben die Reaktion des integrierten Schutzes von Windows 10 auf das Abfangen von Tastatureingaben mit Hilfe einer Testapplikation und der WinAPI-Funktion GetAsyncKeyState getestet (diese Methode wurde im letzten Test des Unternehmens MRG verwendet). Es gelang uns, bei aktivem Windows Defender den Namen des Nutzers und sein Passwort beim Einloggen ins Bezahlsystem PayPal abzufangen.

Windows 10: Was ist neu im Sicherheitssystem?

Aufzeichnung des Passworts während des Einloggens bei PayPal

Nicht autorisierter Zugriff auf die Webkamera

In unserem nächsten Test versuchten wir, nicht autorisierten Zugriff auf die Webkamera zu erhalten. Diese Funktionalität wurde in den letzten Jahren zunehmend in Trojaner und andere Hackertools integriert. Ein deutlicher Beleg für die Popularität dieser Funktion unter Cyberkriminellen ist das Vorhandensein eines Überwachungsmoduls in dem Trojaner AdWind.

Beobachtet man das Opfer über seine eigene Webkamera, kann man eine Menge Informationen sammeln, die wiederum für kriminelle Machenschaften und Einnahmen genutzt werden können – und sei es durch ganz banale Erpressung, wenn der Anwender in intimen Situationen gefilmt wird.

Einige Antiviren-Lösungen sind in der Lage, den Zugriff von Anwendungen auf die Kamera zu kontrollieren. Im wahren Leben gibt es praktisch keine Situation, in der eine legitime Anwendung ohne Wissen des Nutzers mit der Webkamera arbeiten muss. Daher ist es eine gute Praxis, ihn darüber zu informieren. Der Nutzer kann in jedem Einzelfall entscheiden, ob die Anwendung die Kamera tatsächlich benutzen muss, oder ob es sich um verdächtige Aktivität handelt, die es zu unterbinden gilt.

Unsere Testanwendung hat die öffentliche Bibliothek OpenCV verwendet (wie es zum Beispiel auch der Trojaner Rover tut). Ein einfaches Skript in Python fing ein Bild von der Webkamera ab und zeigte es in einem separaten Fenster an. Im Endeffekt fing die Anwendung auf einem Windows-10-Computer mit aktiviertem Schutz ungestört ein Video ab, und der Nutzer wurde darüber in keiner Weise informiert.

Windows 10: Was ist neu im Sicherheitssystem?

Abfangen des Webkamera-Bildes durch ein Skript

Drive-by-Download-Kontrolle

Ein weiteres akutes Problem für Windows-Nutzer sind die zahlreichen Exploits, die eine Infektion des Betriebssystems über Sicherheitslücken in verschiedenen Anwendungen ermöglichen. Wir haben den integrierten Schutz auf eines der neuesten Exploits zu der Sicherheitslücke CVE-2016-1019 im Adobe Flash Player getestet.

Bei der Exploit-Datei handelt es sich um ein SWF-Objekt, das mit dem Algorithmus ZLIB komprimiert wurde.

Windows 10: Was ist neu im Sicherheitssystem?

Flash-Exploit

In dieser Form wird die Datei beim Kopieren vom Windows Defender erkannt und in die Quarantäne verschoben.

Windows 10: Was ist neu im Sicherheitssystem?

Erfolgreiche Detektion eines gepackten Exploits

Wird die Datei jedoch dekomprimiert und erhält wieder ihr ursprüngliches SWF-Format, so versagt der Schutz.

Obendrein wird die komprimierte Datei, die erfolgreich auf der Festplatte detektiert wurde, mittels einer Drive-by-Attacke von Webseiten geladen und erfolgreich aus dem Browserkontext gestartet. Ist auf dem System eine verwundbare Version des Adobe Flash Player installiert, so ist eine Infektion möglich, da der Defender nicht über eine Komponente zur Drive-by-Download-Kontrolle verfügt.

Windows 10: Was ist neu im Sicherheitssystem?

Erfolgreicher Download eines Flash-Exploits in den Browser, das vorher auf der Festplatte detektiert wurde

Wir möchten außerdem darauf hinweisen, dass Microsoft in Windows eine Komponente integriert hat (SmartScreen), die Drive-by-Attacken mit Hilfe einer Reputations-basierten Analyse erfolgreich stoppen kann. Doch in manchen Fällen, insbesondere bei zielgerichteten Attacken, ist eine heuristische Content-Analyse unerlässlich, um den Ausnutzungsprozess erfolgreich aufzudecken. Wir haben diesen Testfall genutzt, der nicht von der Komponente SmartScreen abgedeckt wird, um zu zeigen, dass der Computer infiziert werden kann, wenn Angreifer ein Flash-Exploit mit Techniken zur Umgehung der Edge-Sicherheitsmechanismen verwenden. Bisher haben wir noch nicht beobachtet, dass solche Umgehungstechniken eingesetzt wurden.

Fazit

Um einen zuverlässigen Schutz für Anwendersysteme gewährleisten zu können, bedarf es heutzutage eines komplexen Ansatzes, der sowohl gewöhnliche Detektionstechniken (Signatur-basierte Analyse, Verhaltensanalyse und so weiter) als auch zusätzliche Module in sich vereint, die verbreitete Angriffstechniken Cyberkrimineller aufdecken können.

Wie unsere kleine Untersuchung gezeigt hat, sind die in Windows 10 integrierten IT-Sicherheitstechnologien für einen vollwertigen Schutz vor Schadattacken in einigen Fällen nicht ausreichend. Wie auch schon in früheren Windows-Versionen müssen alle möglichen Angriffsvektoren mit Hilfe spezialisierter Schutzlösungen der Klasse Internet Security ausgeschlossen werden.

Ähnliche Beiträge

Es gibt 1 Kommentar
  1. Heinrich

    vieles an Info aber sehr zahlreich durcheinander,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.