Windows-Fehlerberichte zum Aufspüren von Zero-Day-Attacken genutzt

Windows Error Reports (WER), auch bekannt als Dr. Watson-Reports, sind Windows-Fehlermeldungen, die standardmäßig unverschlüsselt zu Microsoft geschickt werden, und zur Fehlerkorrektur verwendet werden. Die Berichte sind reich an Systemdaten, die Microsoft auch benutzt, um die Anwender-Interaktion mit den Produkten zu verbessern. Da sie allerdings in reiner Textform zurück nach Redmond gesendet werden, besteht das Risiko, dass sie von Hackern abgefangen werden, die die Systemdaten nutzen könnten, um nach potentiellen Sicherheitslücken zu suchen, die sie dann schließlich auch ausnutzen wollen.

Und auch wenn das weit hergeholt klingen mag, so wurde in einer deutschen Publikation aus dem Dezember letzten Jahres doch darüber berichtet, das die NSA genau das getan hat — sie hat ihr XKeyscore-Tool benutzt, um Absturzreports zu sammeln und dementsprechend Exploits zu entwickeln.

Die einzige Möglichkeit, diese Bedrohung zu verhindern, besteht darin, die Sendung der Fehlermeldungen zurück zu Microsoft manuell abzustellen, was allerdings nicht häufig getan wird – Microsoft erhält Milliarden dieser Berichte von 80 Prozent seiner Anwender.

Das Sicherheitsunternehmen Websense forderte Administratoren im Dezember auf, proaktiv zu handeln und diese Reports als ersten Schritt beim Aufspüren von fortgeschrittenen Angriffen gegen die eigene Organisation zu nutzen, da Exploits im Allgemeinen ungewöhnliches Verhalten bei Anwendungen verursachen. Das Unternehmen veröffentlichte einen Bericht, der genau aufzeigt, wie das zu tun ist, und in dem darüber hinaus davon die Rede ist, dass eine laufende Attacke gegen einen der wichtigsten Mobilfunkanbieter und eine türkische Regierungswebsite aufgespürt werden konnte. Zudem wird dort eine andere Attacke gegen Point-of-Sale-Systeme mit Hilfe einer Zeus-Variante beschrieben, die POS- und Backend-Geräte infiziert.

Der Schlüssel liegt darin, zwischen Abstürzen zu unterscheiden, die auf Exploits hinweisen, und solchen, die lediglich auf einem Programmierfehler beruhen. Abstürze, die sich außerhalb des programmierbaren Speichers zutragen, könnten beispielsweise auf ein aktives Exploit hinweisen, das entfernte Ausführung von Code ermöglicht.

“Diese Spur führt von Brotkrumen zu etwas Interessantem“, erklärt der Sicherheitsforscher Alex Watson, Director of Security Research bei Websense.

Laut Watson hat sein Unternehmen über einen Zeitraum von vier Monaten 16 Millionen Dr. Watson-Reports gesammelt, auf der Suche nach Systemabstürzen, die von vorher unbekannten Exploits zu CVE-2013-3893 verursacht wurden – einer Sicherheitslücke im Internet Explorer 6-11. Diese Schwachstelle wurde in den Deputy Dog-Watering-Hole-Attacken gegen eine Reihe von kritisch wichtigen Industriezweigen in Asien ausgenutzt. Prozesse, die zu Systemabstürzen führten, ermöglichten es Websense, die Schäden zu identifizieren, die durch Exploit-Einsatz verursacht wurden.

Von den 16 Millionen Reports enthielten fünf Berichte aus vier Organisationen von Websense definierte Merkmale, inklusive der Speicherbereiche, in denen der IE abstürzen kann, wenn er von einem Exploit zu der Sicherheitslücke CVE-2013-3893 angegriffen wird.

Wie sich herausstellte, wurden zwei Organisationen von dem Trojaner HWorm infiziert, der für zielgerichtete Attacken eingesetzt wird. Watson zufolge berichteten beide Organisationen gleichzeitig mit der Erkennung der Merkmale eines Exploit-Einsatzes über die Attacke mit Hilfe von Remote-Administrationstools (RAT).

„Wir konnten die missglückten Einsätze des Exploits mit RAT verbinden, um so einen gewissen Indikator der allgemeinen Technik zu erhalten“, erklärt Watson.

Websense habe zudem Absturzdaten von Point-of-Sale-Anwendungen gesammelt, die analog zu denen sind, die im Rahmen der Hacks von Target and Neiman Marcus von der RAM-Scraper-Malware kompromittiert wurden. Schädlinge dieser Art stehlen Login-Daten und Kreditkarteninformationen von dem Gerät, bevor diese verschlüsselt und an den Zahlungsabwickler gesendet werden. Die meisten der von Websense verwendeten Fehlerberichte stammten von einem Textileinzelhändler im Osten der USA. Laut Berichten war das Unternehmen mit einer Zeus-Varinante infiziert, die in POS-Geräte und –Anwendungen eindringt. Watson erklärte, die Malware versuchte sich in dem Moment mit den Command- and Control-Servern zu verbinden, in dem die Anwendung zusammenbrach.

“Die meisten zeitgemäßen Exploits bringen Anwendungen dazu, sich nicht nach Plan zu verhalten, was zur Ausführung von Shell-Code und ähnlichem führen kann”, erklärt Watson. “Da Microsoft so fortschrittliche Technologien wie ASLR entwickelt hat, wird es für Angreifer zunehmend schwerer, erfolgreich Exploits auszuführen und die Wahrscheinlichkeit, dass sie damit scheitern, wird immer höher. Sobald die Angreifer nach einem festen Stand im Netzwerk suchen und sich an dem Perimeter des Sicherheitssystems vorbeimogeln, meinen sie, nicht mehr auf dem Radar des IPS-Systems sichtbar zu sein, und wählen dann den kürzesten Weg und richten die Exploits gegen ihr Ziel, in der Annahme nicht beobachtet zu werden. Dabei ist die Wahrscheinlichkeit aber groß, dass Anwendungen im Netzwerk abstürzen.”

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.