Nmedia - Fotolia

F

Wie wird der digitale Signatur-Check von Windows umgangen?

Ein Forscher hat eine einfache Möglichkeit gefunden, den digitalen Signatur-Check in Windows zu umgehen. Damit gerät die Ganze auf Vertrauen basierende Architektur ins Wanken.

In einer Keynote auf der DerbyCon 7.0 wurde eine relativ einfache Möglichkeit vorgestellt, den digitalen Signatur-Check von Windows mit nur zwei Änderungen in der Registry auszutricksen. Wie wichtig ist dieser Signaturschutz in Windows und wie schwierig wäre es für Angreifer, diese beiden Registry-Änderungen durchzuführen?

Matt Graeber, ein Sicherheitsforscher bei SpecterOps, hat den Trick gefunden. Graeber zeigte, wie sich der Signatur-Check mit der Änderung zweier Schlüssel in der Registrierungsdatenbank von Windows umgehen lässt. Die Entdeckung ist von großer Bedeutung, weil Windows digitale Signaturen als Sicherheitsmaßnahme verwendet, um unter anderem die Authentizität von ausführbaren Dateien zu überprüfen.

Windows und andere Systeme nutzen digitale Signaturen, um herauszufinden, ob eine Datei verändert wurde, die zum Beispiel aus dem Internet heruntergeladen wurde. Digitale Signaturen dienen also dazu, Vertrauen aufzubauen und die Integrität und Herkunft von Dateien zu bestätigen. Wenn es aber Möglichkeiten gibt, dies zu umgehen, gerät das auf Vertrauen basierende System ins Wanken.

Digitale Signaturen dienen nicht dazu, Dateien selbst zu sichern. Abhängig von dem privaten Schlüssel, der für sie verwendet wurde, machen sie sie jedoch vertrauenswürdig – oder eben nicht. Wenn zum Beispiel ein Schlüssel geklaut oder anderweitig kompromittiert werden konnte, dann besteht möglicherweise eine Datei den Signatur-Check, die heimlich verändert wurde.

Viele Sicherheitsfunktionen in Windows und in anderen Produkten basieren auf diesem Vertrauen und den Garantien, die ein digitaler Signatur-Check mit sich bringt. Die vor kurzem aufgetretene CCleaner-Malware konnte sich zum Beispiel mithilfe eines legitimen Zertifikats verbreiten, so dass die Ausführung des dabei verwendeten Codes vom Betriebssystem akzeptiert wurde. Graeber schreibt in seinem Bericht: „Es führt zu einer Verschlechterung der Effizienz von Sicherheitsprodukten, wenn die auf Vertrauen basierende Architektur von Windows umgangen werden kann.“

Die von Graeber entdeckte Veränderung der beiden Registry-Werte ermöglicht es, für eine Datei die gültige Signatur einer anderen Datei zu verwenden. Dazu muss kein zusätzlicher Code eingeschleust werden. Es genügt, wie erwähnt, zwei Werte in der Registrierungsdatenbank zu verändern. Wenn ein Angreifer Zugriff auf die Registry hat, kann er die Attacke sogar aus der Ferne ausführen. Dazu benötigt er allerdings Admin-Rechte auf dem betreffenden System.

Eine Möglichkeit gegen diese Attacken vorzugehen, wäre, den Admin-Accounts den Zugriff auf diese Registry-Schlüssel zu untersagen und ein Monitoring einzurichten. Damit lässt sich herausfinden, ob die Schlüssel verändert wurden. Dazu müssten aber die Logs aller Systeme kontinuierlich überwacht werden. Mit Hilfe einer Gruppenrichtlinie können die Zugriffsrechte ebenfalls beschränkt werden. Dabei handelt es sich aber jeweils nur um reaktive Maßnahmen.

Verschiedene Schutzebenen

Im Grunde dreht sich also wieder alles um Vertrauen, da es hier um einen Bereich geht, mit dem verhindert werden soll, dass sich jemand oder etwas als jemand anderes oder etwas anderes ausgibt. Mit dem von Graeber demonstrierten Trick ist es jedoch möglich, zum Beispiel Application Whitelisting zu umgehen, wie es etwa der Windows Defender Device Guard von Microsoft ermöglicht.

Eine Möglichkeit zum Schutz vor diesen Angriffen ist die Einführung und Nutzung von Reputation-Services, Sandboxen und Next-Generation Malware Protection. Sie basieren nicht mehr auf Signaturen.

In Anbetracht der beschriebenen Gefahren, kann man sich die Frage stellen, ob wir überhaupt noch digitale Signatur-Checks brauchen? Die Antwort ist eindeutig: Ja, unbedingt! Sie sind aber nur eine Ebene beim Schutz vor Malware. Wenn sie umgangen werden können, dann sind sie auch nicht mehr vertrauenswürdig. Wir benötigen deswegen weitere Ebenen, um uns vor den Gefahren aus dem Internet zu schützen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Was das entzogene Vertrauen der WoSign-Zertifikate bedeutet

Das bedeuten kostenlose Zertifikate für Sicherheitsverantwortliche

Windows-10-Sicherheit per Device Guard verbessern

Artikel wurde zuletzt im Dezember 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Betriebssystemsicherheit

Dem Gespräch beitreten

1 Kommentar

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

Grundsätzlich die Methode Application Whitelisting des MS Applockers, Defenders oder anderer Produkte als umgehbar darzustellen ist hier irreführend. Diese Erkenntnis trifft lediglich auf die signaturbasierte Whitelisting Methode zu.

Sowohl der Applocker, als auch andere Application Whitelisting Produkte können Prüfungen auf Dateiebene z.B. durch Hashes durchführen und einen solchen Angriff weiterhin unmöglich machen. Bitte differenzieren Sie diese Aussagen besser, um nicht einen grundsätzlich sichereres Prinzip zur Endpoint Sicherung im Keim schlecht zu reden.
Abbrechen

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close