/ Security / Cybellum verkauft Autostart-Funktion als Zero-Day

Cybellum verkauft Autostart-Funktion als Zero-Day

Moritz Rosenfeld on March 23, 2017 - 7:10 am in Security

Mit kräftigen Worten, einem eigenen Namen und Logo und dem Prädikat “Zero-Day” stellt Cybellum eine Technik vor, mit der sich Malware in einem Windows-System verankern lässt — nachdem es bereits die Kontrolle übernommen hat.

Die von der Sicherheitsfirma Cybellum “DoubleAgent” getaufte Technik ist keine Sicherheitslücke im eigentlichen Sinn und schon gar kein Zero-Day – also eine Sicherheitslücke, die Angreifer ausnutzen, bevor der Hersteller davon weiß. Vielmehr handelt es sich um eine so von Microsoft beabsichtigte Methode, Windows anzuweisen, beim Start eines Programms eine Bibliothek mitzuladen. Diese kann dann – so der eigentliche Einsatzzweck – deren Verhalten überwachen und bei der Fehlersuche helfen.

Die Funktionsweise ist einfach: Über Registry-Keys lässt sich Windows anweisen, mit einem bestimmten Programm immer eine zusätzliche Bibliothek zu laden. Diese Bibliothek läuft dann innerhalb des Prozesses und hat dessen volle Rechte. Microsoft hat dies als Debug-Möglichkeit für Programme eingeführt, für die kein Quelltext vorliegt. Da lädt Visual Studio dann einen sogenannten Application Verifier zum Programm dazu. Wer das selbst ausprobieren möchte, kann sich bei Cybellums GitHub-Projekt bedienen.

Ein weiterer Autostart

Wie mit jedem anderen Autostart-Mechanismus auch, könnte sich über diesen “Application Verifier” auch Schad-Software im System verankern. Diese läuft dann innerhalb des Zielprozesses, hat dessen volle Rechte und kann diesen kontrollieren. Anders als bei Exploits für echte Sicherheitslücken, über die sich
Malware etwa Zugang zum System oder erweiterte Rechte verschafft, werden dabei keine Sicherheitsgrenzen überschritten. Vielmehr funktioniert Windows genau so, wie es soll. Wenn Malware diese Funktion nutzt, ist das Kind längst in den Brunnen gefallen. Es wäre also höchst verwunderlich, wenn Microsoft auf die Veröffentlichung von “DoubelAgent” mit einem Patch reagieren würde. (ju)

Read more on: Source

Comments are disabled