Thema: Windows-Hilfe als Einfallstor für Angreifer

[SiLæncer]

Ein Fehler in Microsofts Hilfe- und Supportcenter lässt sich ausnutzen, um aus der Ferne einen Windows-PC zu kompromittieren. Dazu genügt der Aufruf einer manipulierten Webseite mit dem Internet Explorer. Ursache des Problems ist die fehlerhafte Implementierung der Whitelist-Funktion, mit der das Supportcenter prüft, ob ein Hilfedokument aus einer erlaubten, vertrauenswürdigen Quelle stammt. Doch das Supportcenter kann nicht nur Hilfedokumente aus dem Netz nachladen (über den URL-Handler hcp://), es kann auch lokale Anwendungen starten, beispielsweise die Remote-Unterstützung und dergleichen.

Laut Tavis Ormandy steckt aber in der Umwandlung von Escape-Sequenzen in eine vollständige URL (URL-Normalisierung) ein Fehler, mit der sich die Whitelist austricksen und eine manipulierte URL übergeben lässt. Damit ist es möglich, Programme auf dem PC auszuführen. Ein Angreifer könnte etwa den FTP-Client starten, um einen Trojaner aus dem Netz zu laden und und ihn anschließend zu starten.

Ganz so simpel funktioniert der Angriff aber nicht. Ormandy nutzt noch weitere Schwachstellen und Tricks, um mit seiner bereit gestellten Demo einen Taschenrechner ohne Interaktion des Anwenders zu starten. Unter anderem erscheint nämlich beim Aufruf einer hcp://-URL mit dem Internet Explorer ein Warnhinweis ("Möchten Sie dieser Webseite das Öffnen eines Programmes auf dem Computer gestatten"), den der Anwender bestätigen muss.

Diese Klippe umschifft Ormandy, indem er die URL nicht direkt im Browser öffnet, sondern über ein ActiveX-Plug-in des Windows Media Player aufruft – und dort kommt die Warnung nicht. Zusätzlich nutzt Ormandy noch eine Cross-Site-Scripting-Schwachstelle in der Datei sysinfomain.htm, um seine Befehle an das Hilfecenter zu übergeben. Alles zusammen ergibt sich ein ausgefeilter Exploit, der im Test der heise-Security-Redaktion auf einem vollständig gepatchten Windows-XP-SP3-System mit dem Internet Explorer 8 und Windows Media Player den Taschenrechner öffnete. Betroffen ist laut Ormandy auch Windows Server 2003. Unter Windows 7 funktionierte der Exploit mit dem Internet Explorer 8 nicht.

Ormandy ist sich aber sicher, dass es nur weniger Anpassungen bedarf, um seinen Exploit auch auf anderen System zum Laufen zu bringen und "leiser" zu machen. Zudem seien Browser nur ein möglicher Weg, die Lücke auszunutzen. Microsoft soll seit dem 5. Juni über die Lücke informiert sein. Einen Patch gibt es noch nicht. Ormandy hat die Informationen aber schon jetzt veröffentlicht, weil er der Meinung ist, dass Angreifer die Lücke bereits untersucht haben und es derzeit das Beste sei, die Information schnell herauszugeben.   

Als Workaround schlägt Ormandy vor, das Nachladen von Hilfedokumenten im Supportcenter zu deaktivieren. Dafür stellt er einen Hotfix  bereit. Im Test von heise Security funktionierte der Exploit nach der Installation des Hotifx unter Windows XP nicht mehr. Allerdings kann es Fälle geben, in denen beispielsweise in Unternehmen die Funktion für Remote-Unterstützung notwendig ist. Ormandy macht in seinem Bericht Vorschläge für Alternativkonfigurationen.

Ormandy, der auch in Googles Sicherheitsteam arbeitet, machte in der Vergangenheit immer wieder mit ausgefeilten Exploits für schwer ausnutzbare Lücken von sich Reden. Zuletzt deckte er die Lücke im Java Deployment Kit und der Windows Virtual DOS Machine auf.   

Quelle : www.heise.de

[SiLæncer]

Die neue Sicherheitslücke in Windows sorgt für Unmut – und das nicht nur, weil Tavis Ormandy die Informationen ohne Abstimmung mit Microsoft veröffentlichte, sondern weil auch der von ihm bereit gestellte Hotfix nicht vollständig schützen soll.

Die Lücke findet sich in Microsofts Hilfe- und Supportcenter und lässt sich ausnutzen, um aus der Ferne einen Windows-PC zu kompromittieren. Dazu genügt der Aufruf einer manipulierten Webseite mit dem Internet Explorer. Microsoft hat unterdessen die Lücke bestätigt: betroffen sind nur Windows XP und Server 2003. Windows 7, Vista und Server 2008 sind nicht verwundbar. Microsoft untersucht das Problem noch und will eventuell einen Patch veröffentlichen, um die Lücke zuschließen. Als Schutz empfehlen die Redmonder, die ursächliche Verarbeitung manipulierter hcp://-URLs zu deaktivieren. Dazu genügt es, den hcp-Handler einfach zu löschen. 

Microsoft schlägt vor, dies über eine reg-Datei zu erledigen. Dazu legt man die Datei hcp.reg an und füllt sie mit folgenden Inhalt:

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\HCP]

Ein anschließender Doppeklick deaktiviert die Verarbeitung von Hilfedokumenten.

Diese Vorgehensweise empfiehlt auch der Sicherheitsdienstleister Secunia, der die Lücke erneut analysiert hat und zu dem Ergebnis kommt, dass Ormandy einige Punkte übersehen hat, die den Fehler verursachen können. Daher fängt laut Secunia Ormandys Hotfix auch nicht alle Angriffe ab. Ormandys Fix sieht vor, dass  die Funktion MPC::HexToNum() bei bestimmten Fehlern den Wert Null statt 0xFFFFFFFF zurückliefert. Letzteres lässt sich nämlich ausnutzen, um die Whitelist-Prüfung des Supportcenters zum Nachladen von Dokumenten auszutricksen. Leider lässt sich die Ausgabe von 0xFFFF-Werten auch laut Secunia auch ohne Fehler provozieren, womit der Hotfix wirkungslos sei. Secunia rät ebenso wie Microsoft von der Installation des (inoffiziellen) Hotfix ab.

Microsoft mokiert sich zudem darüber, dass Ormandy bereits vier Tage nachdem er Microsoft informiert hat seinen Bericht veröffentlichte. Dies habe keine Zeit gelassen, angemessen zu reagieren. Die unzureichende Analyse von Ormandy und der nur halb funktionierende Fix bestätigen nach Meinung der Redmonder, dass es Zeit benötige, ein Problem umfassend zu verstehen und einen probaten Patch zu bauen. Interessanterweise richtet Microsoft seine Vorwürfe sowohl an Ormandy direkt als auch an den Diensteanbieter Google, in dessen Sicherheitsteam Ormandy arbeitet.

Quelle : www.heise.de

[SiLæncer]

Neben Microsoft wundern sich auch unabhängige Sicherheitspezialisten über Ormandys Vorgehen. Der Hacker Robert Hansen (aka RSnake) fragt sich in einem Kommentar, ob Google zwei unterschiedliche Standards bei Full Disclosure verwende, denn Google selbst ist ein Verfechter der Responsible Disclosure. Allerdings hat Ormandy mittlerweile darauf hingewiesen, dass er in diesem Fall auf eigene Rechnung gearbeitet hat und Google damit nichts zu tun habe. In seinem Fehlerbericht bedankt er sich aber unter anderem bei Michal Zalweski, ebenfalls Mitgliedern des Google-Sicherheitsteams, für die Hilfe beim Erstellen des Exploits.

Ber der Anfang des Jahres gemeldeten Lücke in der Virtual DOS Machine hatte Ormandy zwar auch einen Exploit veröffentlicht, ohne das Microsoft einen Patch zur Verfügung gestellt hatte. Damals hatte Microsoft aber auch mehrere Monate Zeit, zu reagieren.

Quelle : www.heise.de

[SiLæncer]

Nach Angaben von Microsoft und dem Antivirenhersteller Sophos nutzen erste Webseiten die vergangene Woche gemeldete Lücke im Hilfe- und Supportcenter von Windows aus, um die Systeme von Besuchern mit Schadcode zu infizieren. Bislang sind jedoch nur Anwender von Windows XP betroffen, da der kursierende Exploit nur dort funktioniert. Zwar ist grundsätzlich auch Windows Server 2003 betroffen, dort läuft der Exploit jedoch (noch) nicht. Windows 7, Vista , 2000 und Server 2008 sind nicht verwundbar.

Microsoft arbeitet noch an einem Patch und empfiehlt bis dahin, mit einem Fix-it-Tool die Lücke temporär zu schließen. Das Tool deregistriert das hcp://Protokoll unter Windows, sodass der Aufruf von Hilfedokumenten nicht mehr funktioniert. Ursache des Problems ist nämlich die fehlerhafte Implementierung der Whitelist-Funktion, mit der das Supportcenter prüft, ob ein Hilfedokument aus einer erlaubten, vertrauenswürdigen Quelle stammt.

Doch das Supportcenter kann nicht nur Hilfedokumente aus dem Netz nachladen (über den URL-Handler hcp://), es kann auch lokale Anwendungen starten, beispielsweise die Remote-Unterstützung und dergleichen. Damit ist es möglich, Programme auf dem PC auszuführen. Mit manipulierten hcp-URLs kann ein Angreifer jedoch beispielsweise den FTP-Client starten, um einen Trojaner aus dem Netz zu laden und ihn anschließend zu starten.

Die Lücke hatte in der vergangenen Woche insbesondere wegen der Umstände der Veröffentlichung für Wirbel gesorgt. Der Entdecker Tavis Ormandy hatte die Infos nebst PoC-Exploit veröffentlicht, ohne Microsoft ausreichend Zeit für eine Reaktion einzuräumen. Zwar hatte er einen eigenen Hotfix zur Verfügung gestellt, der schloss die Lücke jedoch nicht vollständig.

Da Ormandy für Google arbeitet, fragten sich Sicherheitsspezialisten, ob Google zwei unterschiedliche Standards bei Full Disclosure verwende – denn Google selbst ist ein Verfechter der Responsible Disclosure. Allerdings wies Ormandy darauf hin, dass er in diesem Fall auf eigene Rechnung gearbeitet hatte und Google damit nichts zu tun habe.

Quelle : www.heise.de