svl861 - Fotolia

F

Wie angreifbar sind passwortgeschützte Systeme per USB?

Der PoisonTap-Exploit kann die Kennwortsperre von Systemen umgehen und so Daten aus dem Internetverkehr abgreifen. Wie funktioniert dieser Angriff?

Bei PoisonTap handelt es sich um ein von Samy Kamkar entwickeltes Exploit-Tool. Mit Hilfe dieses Werkzeuges können Angreifer eine Hintertür auf einem Rechner installieren, auch wenn dieser durch ein Passwort gesperrt ist. Das Tool erlaubt es den Angreifern, den Webbrowser sowie die Netzwerkverbindung zu übernehmen. So lassen sich unter anderem Web-Traffic und die Authentifizierungs-Cookies mit aufzuzeichnen. Wie funktioniert PoisonTap und warum können Systeme das Tool nicht daran hindern, die Passwortsperre zu umgehen?

Mit der Einführung von Windows 95 gingen einige neue Funktionen einher, die uns bis heute in irgendeiner Form begleiten und für mehr Komfort sorgten. Dazu gehört die so genannte Plug-and-Play-Funktionalität (PnP) für Hardwaregerätetreiber. Diese sollte dazu führen, dass Anwender im Idealfall keine Treiber mehr installieren mussten, sondern sich diese automatisch bei Anschluss des Gerätes installieren. Bis dahin war es – zumindest unter Windows – nahezu beliebig komplex ein Gerät korrekt zu installieren. Mit PnP wurde dieser Prozess automatisiert.

Auch wenn es die ersten Jahre alles andere als reibungslos funktionierte, schlussendlich wäre die Funktionalität aus heutigen Systemen nicht mehr wegzudenken. Allerdings gab es auch von Beginn an Sicherheitsbedanken hinsichtlich einer automatischen Treiberinstallation. Daher müssen die Treiber unter Windows vom Hersteller signiert sein, um das Risiko zu reduzieren, einen manipulierten Treiber zu installieren.

Wird ein Netzwerktreiber installiert, erfolgt die Konfiguration häufig automatisch per DHCP, um dem Anwender die Einrichtung der Netzwerkeinstellungen zu erleichtern. Im Hinblick auf bösartige DHCP-Server existieren hier ebenfalls Sicherheitsbedenken.

Angriff über USB-Port

PoisonTap kann durchaus dazu führen, dass Unternehmen über das Thema PnP eventuell nochmals nachdenken – im Hinblick auf die Sicherheit. Der Angriff funktioniert über das Anstecken eines kleinen Stück Hardware in Form eines Raspberry Pi Zero am USB-Port des Systems. Installiert wird durch Ausnutzung von PnP eine manipulierte Netzwerkverbindung, so dass der Internettraffic durch das USB-Gerät läuft. All dies geschieht auf Betriebssystemebene, ohne dass der Anwender dies bemerkt. Damit lässt sich per PoisonTap ein Man-in-the-middle-Angriff ausführen.

So lassen sich Passwörter, Cookies und weitere Daten stehlen, solange der Nutzer angemeldet ist und ein Webbrowser offen ist. Der Angriff funktioniert auch, wenn der Bildschirm per Passwort gesperrt ist. Es genügt, wenn die Programme laufen. Die Umgehung der Passwortsperre ist eine ernste Bedrohung, allerdings benötigt der Angreifer physischen Zugriff auf das System. Nach Angaben des Entwicklers funktioniert der Angriff via USB und Thunderbolt, unter den Betriebssystemen Windows, Linux und Mac OS.

Der Entwickler Samy Kamkar gibt einige Tipps, wie man sich vor PoisonTap schützen kann. So rät er beispielsweise auf Webservern zur Nutzung von HTTPS. Auf den Endanwendersystemen könne man die USB-Ports sperren, USB-Firewalls einsetzen oder PnP deaktivieren. Nicht alle Ratschläge mögen wirklich praktikabel erscheinen, wie etwa das Schließen aller Browserfenster bei jedem Verlassen des Rechners.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Forbidden Attacks: Gefahr für HTTPS-Verbindungen

Browsersicherheit: Angriff auf HTTPS per HEIST

System und Anwendungen gegen Attacken schützen

BSI veröffentlicht Mindeststandard für sichere Webbrowser

Artikel wurde zuletzt im Mai 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Hacker-Tools und -Techniken, Untergrundseiten, Hacker-Gruppen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close