Windows Vista Benutzerkontenschutz
Lücke im System
12.03.2007 | Autor / Redakteur: Franz Grieser / Peter Schmitz
In den letzten Wochen musste sich Microsoft zunehmend Kritik an der neuen Benutzerkontensteuerung gefallen lassen: Symantec, die Sicherheitsspezialistin Joanna Rutkowska und die Firma eEye Digital Security wiesen auf verschiedene Sicherheitslücken hin.
Die von Symantec aufgedeckte Lücke wurde auf SearchSecurity bereits vorgestellt. Kurz gesagt geht es darum, dass fehlerhafte Systemkomponenten in Vista es möglich machen, dem Nutzer vorzugaukeln, eine als vertrauenswürdig eingestufte Anwendung würde für eine Aktion höhere Rechte anfordern – während es sich in Wirklichkeit um Malware handelt, die Administratorrechte erlangen will. Die von Symantec beschriebene Schwachstelle allein allerdings reicht zur Kompromittierung des Systems nicht aus: Zum einen muss die Malware erst einmal ins System gelangen (dazu braucht es schon die Bestätigung durch den Nutzer), zum anderen muss der Nutzer die Aufforderung, der Anwendung mehr Rechte einzuräumen, bestätigen.
Das Problem ist für Microsoft vergleichsweise einfach zu beheben: Die entsprechenden Komponenten (die Datei RunLegacyCPLElevated.exe und eine zugehörige DLL-Datei) müssen durch sichere Fassungen ausgetauscht werden, was sich einfach durch die Vista-Updatefunktion realisieren lässt.
Lücke bei der Installation
Bereits vor Symantec kritisierte Joanna Rutkowska eine grundsätzliche Schwäche in UAC: Installationsroutinen laufen grundsätzlich im Administratorkontext. Sie haben also Zugriff auf sensible Bereiche im Betriebssystem, also auf das Dateisystem und die Registry, und können zum Beispiel auch Kernel-Treiber laden.
Welche Voraussetzungen ein Programm erfüllen muss, damit Vista es als „Installationsprogramm“ akzeptiert und ihm bei der Ausführung Admin-Rechte zubilligt, können Sie auf der unten angegebenen Technet-Seite von Microsoft nachlesen. Im Grunde reicht es, im Dateinamen „install“, „setup“ oder „update“ anzugeben und die Einträge in den Eigenschaften-Feldern der Exe-Datei zu fälschen. Dann steht zwischen der Installation einer Malware und ihrer Ausführung mit Administratorberechtigung nur noch die Bestätigung des Anwenders – dem muss der Malware-Programmierer lediglich glaubhaft machen, er würde ein Spiel oder ein kleines Tool installieren, das er aus dem Internet geladen hat.
Dass ein Setupprogramm automatisch Admin-Rechte erhält, ist unter Sicherheitsgesichtspunkten nicht akzeptabel. Offenbar hat Microsoft darauf verzichtet, dieses Lücke zu schließen, um Probleme mit älteren Anwendungsprogrammen zu vermeiden, die sich nur vom Admin installieren lassen. In den Augen des Autors ist das ein schwerer Fehler, da so die Sicherheit des gesamten Systems kompromittiert ist – nur weil einige Programmierer und Softwarehäuser nicht in der Lage sind, ihre Anwendungen so zu programmieren, dass man sie auch als Standardnutzer installieren (und ausführen) kann.
Mit der Benutzerkontensteuerung aus Vista versucht Microsoft offenbar, die Programmierer zu „erziehen“, dass sie ihre Programme so schreiben, damit diese im Standardbenutzermodus laufen. Jetzt fehlt nur noch, dass man den Installationsprogrammen die Admin-Berechtigungen entzieht. Typische Anwendungsprogramme, Tools und Spiele benötigen diese Rechte auch nicht zwingend. Das ist sicher bei Tools anders, die tief ins System eingreifen, etwa Virenschutzsoftware – für die müsste Microsoft dann ein Zertifizierungsverfahren einführen und nur zertifizierten Programmen Admin-Rechte bei der Installation gewähren.
Mehr Rechte für Malware
Bereits Mitte Januar veröffentlichte das Sicherheitsunternehmen eEye Digital Security eine Warnung vor einer Sicherheitslücke, über die sich Schadsoftware angeblich höhere Rechte und damit Zugriff auf Systemdateien verschaffen kann.
Ein sicherheitsbewußter Vista-Nutzer arbeitet normalerweise nur mit eingeschränkten Rechten (dazu muss neben dem bei der Vista-Installation eingerichteten Administrator- noch ein Standardbenutzerkonto eingerichtet werden). So können Viren, Würmer und andere digitale Schädlinge keinen großen Schaden anrichten, da sie keinen Zugriff auf kritische Systembereiche wie die Registry oder die Systemdateien haben. Über die von eEye entdeckte Sicherheitslücke soll es möglich sein, dass sich ein Standardbenutzer bzw. Prozesse, die in diesem Kontext laufen, sich selbst höhere Rechte verschaffen können (Priviledge Escalation).
Einzelheiten zu der Sicherheitslücke hat eEye bisher nicht veröffentlicht, sondern nur an Microsoft gemeldet. Der Kurzbeschreibung nach scheint uns das Problem gravierend zu sein, eEye selbst stuft es nur als „medium“ ein. Microsoft hat angegeben, dass Problem zu untersuchen und entsprechend der Ergebnisse zu reagieren.
Fazit
Trotz der kleineren bzw. der nicht näher erklärten Sicherheitslücken und auch trotz der konzeptionellen Schwäche: Die Benutzerkontensteuerung von Vista ist definitiv ein Schritt in die richtige Richtung. Microsoft ist jetzt gefragt und muss die schon gefundenen Lücken sehr schnell schließen - und im nächsten Schritt dafür sorgen, dass Installationsroutinen nicht mehr im Admin-Modus ausgeführt werden.
Und natürlich ist auch der Nutzer gefragt: Augen auf, nicht jede Sicherheitsabfrage unbesehen bestätigen, Sicherheits-Patches für Vista einspielen und natürlich zusätzliche Schutzvorkehrungen treffen, insbesondere einen Virenschutz und Spyware-Schutz installieren.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2003099)
