Symantec stellt Vista-Security in Frage

Vistas User Account Control ausgetrickst

27.02.2007 | Redakteur: Peter Schmitz

PDF | Weiterempfehlen | Merken | Drucken

Bildergalerie: 2 Bilder

Ein Sicherheitsspezialist von Symantec hat nach eigenen Angaben eine gravierende Sicherheitslücke im neuen Microsoft-Betriebssystem Windows Vista entdeckt, Mit einem gefälschten Dialog, der die „User Account Control“ (UAC) austrickst, sollen Schadprogramme einen Rechner infizieren können.

Zur schnellen Sicherheits-Einschätzung für den normalen Anwender benutzt Windows Vista in der User Account Control eine farbkodierte Fensterleiste, bei der Abfrage, ob einem Programm die Ausführung mit Administratorrechten gestattet werden soll oder nicht. Vista unterscheidet dabei zwischen drei verschiedenen Zuständen, abhängig vom Herausgeber der ausgeführten Software.

Die „sicherste“ Kennzeichnung ist eine blaugrüne Fensterleiste, die anzeigt, dass es sich bei dem Programm um eine von Microsoft signierte, Betriebssystemnahe Applikation wie bespielsweise ein Systemsteuerungs-Addin handelt. Eine graue Fensterleiste kennzeichnet ein von einem Drittanbieter signiertes Programm, eine gelbe Leiste schließlich weist auf eine unsignierte Anwendung hin.

Anhand dieser Kennzeichnung soll sich ein Anwender nun orientieren können, ob eine nicht autorisierte Anwendung oder das vertrauenswürdige Betriebssystem selbst um erweiterte Rechte anfragt.

Vista narren: Ganz einfach

Nun hat ein Symantec-Techniker in seinem Blog eine einfache Methode vorgestellt, wie diese Technik von Hackern ausgenutzt werden kann. Kernproblem dabei ist die Applikation RunLegacyCPLElevated.exe aus dem Vista-System, die dafür sorgen soll, dass auch ältere Programme wie beispielsweise Systemsteuerungsmodule mit vollen Administratorrechten laufen können. RunLegacyCPLElevated nutzt allerdings eine DLL, die es einer Anwendung mit User-Rechten erlaubt eine Systemdatei aus einem User-Bereich zu laden und diese unter Administratorrechten zu starten. Das Szenario für einen Angriff könnte nach Ansicht des Symantec-Forschers wie folgt aussehen:

Der Rechner des Anwenders wird durch Schadcode infiziert, der aber nur beschränkte Anwenderrechte besitzt.
Der Schadcode speichert eine modifizierte CPL-Datei in einem bereich der Festplatte ab, auf den der Anwender mit seinen beschränkten Rechten schreiben darf.
Der Trojaner ruft dann RunLegacyCPLElevated.exe mit der modifizierten CPL-Datei als Parameter auf.
Der Anwender erhält nun eine UAC-Abfrage von Vista die um Genehmigung für erweiterte Rechte ersucht. Da RunLegacyCPLElevated.exe von Microsoft signiert ist, suggeriert die blaugrüne Kennzeichnung der Abfrage, dass eine sichere Windows-Anwendung um erweiterte Rechte ersucht und nicht eine völlig unbekannte Dritt-Software.
Der Anwender autorisiert die Anwendung mit erhöhten Rechten ausgeführt zu werden und der Schadcode hat sein Ziel Administratorrechte zu erlangen erreicht.

Das vorgestellte Verfahren ist allerdings derzeit noch nicht angewendet worden. Die ausführlich gehaltene Beschreibung der möglichen Sicherheitslücke von Windows Vista fällt unter die Kategorie „Proof of Concept“, in der Sicherheitsspezialisten ihre Gedankenspiele einordnen.

Artikelfiles und Artikellinks

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2002781)

#Crime, #Consolidation, #Cloud: Kommentar zu den 3 größten Herausforderungen für den #CIO http://t.co/7k6GJfZ8 @MartinKuppinger 6 hours ago
#SafeToGo: Verschlüsselter USB-Stick von #Giesecke & #Devrient bringt auch kleinen Firmen Datensicherheit! http://t.co/ETsUD3yg @prosoft_de 7 hours ago
#Smartphone-Nutzer aufgepasst: Einige #Mobilfunk-#Provider haben Probleme mit ihrer #Firewall-Sicherheit http://t.co/Eh5rnOcM 1 day ago
Sicherheitscheck fürs #Smartphone: #Fraunhofer #AISEC entwickelt #Schwachstellen-Analyse für #Android http://t.co/X1ZNdmSN @FraunhoferAISEC 1 day ago

SEARCHSECURITY AUF FACEBOOK

NEUES AUS DEM FORUM