Thema: Sicherheitslücke durch Kinowelt-Kopiersperre

[SiLæncer]

Am 24. Januar erschien die Video-DVD "Mr. & Mrs. Smith" zunächst als Verleih-DVD; seit dem 7. Februar ist sie auch im Handel erhältlich. Seitdem findet sich der Titel sowohl in den Verleih-Charts als auch in den Verkaufshitparaden unter den Top 10. Für Windows-PC stellt die darauf eingesetzte Kopiersperre Alpha-DVD des koreanischen Herstellers Settec jedoch ein potenzielles Sicherheitsrisiko dar. Durch eine Schwachstelle in der Implementierung können böswillige Entwickler mit geringem Aufwand eigene Prozesse vor dem Betriebssystem verstecken.

Im Rahmen einer Analyse fand heise Security innerhalb kurzer Zeit einen Angriffspunkt. Ein wesentlicher Bestandteil der Sperre ist die Behinderung aller Versuche, die Original-DVD unter Windows zu kopieren. Dazu versteckt sich Alpha-DVD mithilfe einer DLL. Diese lässt sich jedoch auch dazu missbrauchen, andere Prozesse zu verstecken.

Alpha-DVD besteht aus zwei Komponenten: Die eine besteht aus defekten Sektoren auf der Disc, die andere aus drei Dateien, die in das System32-Verzeichnis kopiert werden. Wie bereits berichtet, erhält eine der drei Dateien erhält bei jeder Installation einen anderen Namen, darunter "bootgui.exe", "msxhtml.exe" und "win32k2.exe". Sie kann daran wiedererkannt werden, dass sie 808 Kb groß ist und in den Dateieigenschaften als Hersteller "MS Corp." steht.

Nach ersten Einlesen der DVD auf einem Windows-PC erscheint ein Dialog mit einem Lizenzabkommen auf dem Bildschirm. Dieses erklärt, vor der Wiedergabe sei erst eine "eine Software-Anpassung" nötig, beruhigt den Anwender dann aber: Diese "Modifikation des Betriebssystems" sei "von den Herstellern" der "zugelassenen Systeme" "geprüft und für unbedenklich erklärt" worden. Als zugelassene Systeme werden sechs Windows-Versionen aufgelistet (Windows 98, 98SE, ME, 2000, XP, 2003 Server). Microsoft wollte sich bisher nicht dazu äußern, ob Alpha-DVD eine solche Unbedenklichkeitserklärung ausgestellt habe.

Klickt der Anwender auf "Ich stimme zu", installiert Alpha-DVD drei Dateien in das System32-Verzeichnis und lädt sich in den Speicher. Die eigentliche Kopiersperre versteckt sich vor dem Task-Manager und anderen Prozess-Listern mithilfe einer Bibliothek, die Alpha-DVD allen laufenden User-Level-Prozessen unterschiebt. Von dort aus leitet die DLL unter anderem Funktionen aus den Systembibliotheken kernel32.dll und Ntdll.dll auf sich um. Dazu gehört unter anderem NtQuerySystemInformation(), aus deren Ergebnissen die DLL die Informationen zum zentralen Prozess des Kopierschutzsystems herausfiltert. Darüber hinaus hängt hadl.dll sich in Aufrufe von NtCreateFile(), OpenProcess(), DeviceIoControl(), SendASPI32Command(), SendASPI32Command() und ElbyCDIO_ExDoScsiIO ein.

Eine Analyse von heise Security ergab, dass "hadl.dll" bereitwillig auch andere Prozesse unter seine Tarnkappe nimmt. Ein kleines Demo-Programm tauchte anschließend weder im Task Manager noch im Process Explorer von SysInternals, wohl aber auf dem Desktop auf. Dazu waren nur wenige Zeilen Code notwendig. Damit die Tarnkappe aktiv wird, muss die Bibliothek nur im Systempfad abgelegt sein; der restliche Kopierschutz muss dazu nicht aktiv sein.

Auch wenn es sich bei Alpha-DVD selbst nicht um einen Rootkit handelt, bedient sich Settecs Kopierschutz klassischer Rootkit-Techniken. Im Unterschied zum in Verruf geratenen XCP-Kopierschutz auf Musik-CDs von Sony BMG versteckt Alpha-DVD weder Dateien, Verzeichnisse oder Registry-Einträge vor dem System, sondern nur aktive Prozesse.

Settec hat das potenzielle Sicherheitsrisiko mittlerweile anerkannt und arbeitet nach eigenen Informationen an einem Patch. Dies wird Kunden, die den Kopierschutz von den Kinowelt-DVDs "Mr. & Mrs. Smith" oder "Edison" installiert haben, wenig helfen. Diesen empfiehlt Settec, die Sperre mit dem auf der Firmen-Website bereitgestellten Deinstallationswerkzeug vom Rechner zu entfernen.

Eine erneute Installation von Alpha-DVD lässt sich für Windows-Anwender dadurch verhindern, indem sie entweder die Autostart-Funktion des DVD-Laufwerks generell deaktivieren oder die Umschalt-Taste gedrückt halten, während das Laufwerk die DVD einliest. Die Kopiersperre wird damit nicht umgangen, da sich die Videodateien mit den defekten Sektoren weiterhin nicht auf die Festplatte kopieren lassen.

Zudem ist heise Security den in diversen Foren beschriebenen Schwierigkeiten mit Brennern und virtuellen Laufwerken nachgegangen, wenn Alpha-DVD installiert ist. Tatsächlich zeigen Brenn- und DVD-Kopier-Programme Fehlfunktionen oder den verweigern gar komplett den Dienst, solange die geschützte DVD im Laufwerk liegt. Dies entspricht dem vom Hersteller beabsichtigten Verhalten. Auf einem Test-System kam es aber auch zu Fehlverhalten, ohne dass eine Kinowelt-DVD im Laufwerk lag. Ein Philips-Brenner löschte zwar bereitwillig DVD+RW-Medien, erkannte sie danach aber nicht als leer. Ein Pioneer-Brenner fiel beim Beschreiben der Medien gelegentlich durch seltsame Fluktuationen auf.

Für Linux-Anwender und Mac-User ist Alpha-DVD komplett ungefährlich. Man könnte sogar behaupten, dass Kinowelt ein Herz für Linux zeigt: Der Titel verzichtet auf den ansonsten allgegenwärtigen DVD-Kopierschutz CSS (Content Scrambling System) und lässt sich so ganz ohne DeCSS-Bibliothek wiedergeben.

Quelle und Links : http://www.heise.de/newsticker/meldung/69494

Siehe dazu auch hier : http://www.dvbcube.org/index.php?board=26;action=display;threadid=12428

[SiLæncer]

Die deutsche DVD-Video des Films "Mr. & Mrs. Smith" enthält eine Kopiersperre, die auf Windows-Rechnern die Brennfunktionen beeinträchtigen und eine Sicherheitslücke öffnen kann. Die Sperre heißt Alpha-DVD und stammt vom koreanischen Hersteller Settec, einer ehemaligen Abteilung des Elektronikkonzerns LG.

Erste Details zu den Nebenfolgen der Kopiersperre wurden Anfang Februar bekannt. Mitte Februar kristallisierte sich heraus, dass sich mit der Tarnkappenfunktion von Alpha-DVD auch weitaus bösartigere Programme vor dem System verstecken können. Die DVD "Mr. & Mrs. Smith" wurde von der Kinowelt GmbH veröffentlicht. Kinowelt und Settec bestritten zunächst, dass die Kopiersperre Brennvorgänge blockieren würde.

Erst nach der Veröffentlichung der Sicherheitsanalyse von heise Security gab Settec zu, dass es auch beim Brennen von Daten-Medien zu Unregelmäßigkeiten kommen konnte. Kurz nach dem Verkaufsstart von "Mr. & Mrs. Smith" stellte Settec betroffenen Anwendern einen Uninstaller für Alpha-DVD zur Verfügung. Mittlerweile stellt der Hersteller auch ein Update für die Kopiersperre zur Verfügung sowie eine FAQ für Anwender – leider nur auf Englisch.

Laut Kinowelt wurde die DVD von "Mr. & Mrs. Smith" bis Anfang März mindestens eine Million Mal verliehen; 500.000 Exemplare kamen in diesem Zeitraum an den Handel. Dennoch hat der Verleih bislang keine Rückrufaktion in Gang gesetzt oder eine Zweitpressung ohne Alpha-DVD veranlasst. Immerhin schickt Kinowelt betroffenen Kunden ohne Internet-Anschluss das Deinstallationsprogramm von Settec auf Anfrage auf CD zu. Bisher wollte Kinowelt nicht ausschließen, Alpha-DVD auf künftigen Titeln wieder einzusetzen.

Anders als das Deinstallationsprogramm verlangt der von Settec bereitgestellte Updater einen Neustart des Systems, um die Kopiersperre zu aktualisieren. Das Update installiert die überarbeitete Kopiersperre als "settecalphadisc.exe" und "hadl.dll" im system32-Verzeichnis. Im Unterschied zur Ursprungsversion behauptet die Kopiersperre nicht mehr, von "MS Corp." zu stammen, sondern gibt ihren Urheber als "Settec, Inc." zu erkennen. "settecalphadisc" bezeichnet sich aber immer noch als "System Helper" und klinkt sich weiterhin in der Registrierungsdatenbank als "SystemManager" ein. Die neue "hadl.dll" gibt weder Hinweise auf den Hersteller noch ihre Funktion. Beide Dateien zeigen als Revisionsnummer 1.0.4.0 an. Die auf der DVD von "Mr. & Mrs. Smith" enthaltene Sperre trägt die Versionsnummer 1.0.3.5.

Nach dem Update gibt sich Alpha-DVD im Windows-eigenen Task-Manager als "settecalphadisc.exe" zu erkennen. Von der Tarnkappenfunktion abgesehen benimmt sich das Programm weitgehend wie die Vorgängerversion und schiebt anderen Windows-Prozessen eine DLL unter, die das System in regelmäßigen Abständen nach ASPI- und ASAPI-Treibern abkopft. Angeblich geht die aktualisierte Variante dabei weniger rabiat vor als zuvor und beeinträchtigt daher keine Brennvorgänge mehr. Diese Behauptung konnte heise online bislang nicht überprüfen.

Settec will seine Kopiersperre nicht als "Rootkit" verstanden wissen und bezeichnet das Windows-Programm als "Alpha Agent". In der englischsprachigen FAQ auf seinen Webseiten erklärt der Hersteller, Alpha-DVD sei deshalb kein Rootkit, weil vor der Installation um Erlaubnis gebeten werde und es eine Deinstallationsmöglichkeit gebe.

In der Kopierschutz-FAQ auf Amazon.de verteidigt die Kinowelt GmbH den missglückten Kopierschutz mit ähnlichen Argumenten wie Settec. Allerdings definiert Kinowelt den Begriff "Rootkit" als Programm, "das Daten ohne mein Wissen speichert und an Dritte sendet" -- eine ziemlich strittige Auslegung des Worts. Weiterhin behauptet die FAQ auf Amazon.de: "Der Alpha-Kopierschutz versteckt keine Dateien, Verzeichnisse oder Registry-Einträge." Tatsächlich versteckt Alpha-DVD 1.0.3.5 seine Dateien nicht vor dem Betriebssystem, wie dies die Kopiersperre XCP auf US-amerikanischen Musik-CDs von Sony BMG tut ("Sony Rootkit"). Wohl verschleiert Alpha-DVD aber vor dem System und anderen Programmen, dass die Sperre aktiv ist. Zudem versucht Alpha-DVD, durch die Überwachung eines Registry-Eintrags eine Deaktivierung der Kopiersperre zu verhindern.

So können Anwender nur auf Umwegen herausfinden, ob Alpha-DVD auf ihrem Rechner installiert ist. Die auf dem Windows-PC installierten Dateien werden in ein Systemverzeichnis mit möglichst unauffälligen Namen installiert, wobei die .EXE der Kopiersperre bei jeder Installation anders heißt (u.a. "bootgui.exe" und "systemprop.exe").

Das beste Indiz für die Anwesenheit von Alpha-DVD auf dem System ist das Vorhandensein der Datei "hadl.dll" im Windows-Unterverzeichnis system32 (Dateigröße: 348 KByte bzw. 356 352 Bytes). Zudem findet sich ein Schlüssel namens "SystemManager" unter [HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ policies\Explorer\Run] in der Registrierungsdatenbank. Diesen Schlüssel legt Alpha-DVD aber bereits an, wenn der Kopierschutz vor der Installation das Lizenzabkommen (EULA) anzeigt. Lehnt der Anwender die EULA ab, kopiert Alpha-DVD die Kopiersperre zwar nicht auf die Festplatte, legt aber dennoch den Registry-Eintrag an.

Von der Beinträchtigung legitimer Brennvorgänge abgesehen ist Alpha-DVD primär wegen der Versteckfunktion ein unerwünschter Gast auf dem Rechner. Die Kopiersperre selbst mag keine absichtlichen Schadfunktionen enthalten, doch können bösartige Programme mit wenigen Zeilen Code die Tarnkappe für sich in Anspruch nehmen, wodurch sie für den Task-Manager und Prozess-Betrachter wie den Process Explorer von SysInternals unsichtbar werden. Das Sicherheitsprogramm BlackLight von F-Secure erkennt und deaktiviert Alpha-DVD zuverlässig. Der "RootkitRevealer" von SysInternals ignoriert die koreanische Kopiersperre hingegen. Der Uninstaller von Settec meldet hingegen auch dann, Alpha-DVD entfernt zu haben, wenn sich die Software überhaupt nicht auf dem Rechner befunden hat.

In der EULA von Alpha-DVD suggeriert Settec im Übrigen, die Kopiersperre sei von unabhängigen Herstellern "geprüft und für unbedenklich erklärt" worden. Sowohl die Formulierungen der englischen als auch der deutschsprachigen EULA erzeugen den Eindruck, Microsoft sei einer dieser Hersteller. heise online gegenüber erklärte die Pressestelle von Microsoft Deutschland, die für derartige Prüfungen zuständige Security Technology Unit habe Alpha-DVD nie zur Überprüfung vorgelegt worden.

Auf Anfrage von heise online erklärte die Kinowelt GmbH ursprünglich, sowohl die DVD "Edison" als auch "Mr. & Mrs. Smith" seien mit Alpha-DVD versehen worden. Auf letzterem Titel manifestiert sich die Sperre sowohl durch den Einsatz defekter Sektoren als auch durch die Installation versteckt laufender Windows-Treiber. Bei einer Überprüfung der Video-DVD "Edison" ergab sich jedoch, dass dieser Titel nur durch defekte Sektoren geschützt wird. Wer also die "Edison"-DVD in seinen Windows-PC eingelegt hat, muss sich keine Sorgen um mögliche Spätfolgen von Alpha-DVD machen.

Quelle und Links : http://www.heise.de/security/news/meldung/71115