Thema: Vom Rootkit zum Bootkit ...

[SiLæncer]

Indische Sicherheitsexperten haben auf der Black-Hat-Konferenz in Amsterdam einen speziellen Bootloader vorgestellt, der die Code-Signing-Mechanismen von Vista umgeht. Die indischen Sicherheitsexperten Nitin und Vipin Kumar von NV labs entwickelten ein von CD startendes Programm namens VBootkit, das den Vista-Bootprozess anstößt und dabei "on-the-fly" Änderungen im Speicher und an zu lesenden Dateien vornimmt. Das "Bootkit" konnte auf diese Weise in einer Demonstration unter Vista RC2 (Build 5744) auch ohne Microsoft-Signatur mit Kernel-Privilegien laufen und System-Rechte an eine CMD-Shell vergeben.

Nach Angaben der Experten liegt das fundamentale Problem darin, dass sich jede Stufe im Vista-Bootprozess blind darauf verlässt, dass bei der jeweils vorangegangenen alles sauber abgelaufen ist. So ist es dem Bootkit möglich, sich noch vor dem Vista-Boot ins Speicherabbild zu kopieren und den Interrupt 13 zu kapern, den Betriebssysteme unter Anderem für Lesezugriffe auf Festplattensektoren nutzen.

Sobald der NT-Bootsektor den Bootmgr.exe nachlädt, patcht VBootkit die für die Integritätssicherung zuständigen Sicherheitsabfragen und kopiert sich in einen ungenutzen Speicherbereich. Ähnlich geht es auch bei den nachfolgenden Boot-Stufen Winload.exe und NTOSKrnl.exe vor, bis es auch im fertig gebooteten System im Hintergrund läuft – und zwar ohne dass die neuen Vista-Sicherheitsmechanismen angeschlagen hätten, die die Ausführung von unsigniertem Code mit Kernel-Rechten verhindern sollen.

Das Prinzip funktioniere auch mit Vista-Final (Build 6000), so Nitin und Vipin Kumar im Gespräch mit heise Security. Allerdings hätten finanzielle Überlegungen der nachträglichen Portierung auf die endgültige Vista-Version entgegengestanden. In ihrer Präsentation zeigten die Experten auch die detaillierten Ergebnisse ihrer Analyse des Vista-Bootprozesses.

Zur Bestimmung der zu patchenden Speicherstellen und Prüfsummen, die bei jedem Vista-Build unterschiedlich sind, sei ein sehr zeitaufwendiges Debugging mit dem PC-Emulator Bochs nötig gewesen. Die einzelnen Schritte des Bootprozesses durchzugehen, habe beim ersten Mal mehrere Wochen Arbeitszeit in Anspruch genommen, so die beiden Inder. Ihrer Einschätzung nach stünde dem VBootkit nichts im Wege, auf Grundlage einer entsprechenden Analyse etwa auch signierte Treiber zu patchen und die zuständigen Integritäts-Checks auszuhebeln. Da es mit Kernel-Rechten laufe, könne es prinzipiell alles tun, was auch der Kernel tun kann.

So wäre es unter Umständen beispielsweise auch möglich, auf dem Weg zwischen Datenträger und Videokarte an DRM-gesicherte HD-Videoinhalte zu gelangen. Wie der ebenfalls auf der Black-Hat-Konferenz vorgeführte Angriff gegen Cisco NAC macht VBootkit deutlich: Wer die Hardware kontrolliert, kontrolliert letztlich auch die Software, die darauf läuft. Die beiden Experten gaben zu bedenken, dass Microsoft zwar durch zusätzliche Abfragen und ausgefeiltere Algorithmen die Latte für Bootkits höher legen können, eine entscheidende Absicherung gegen die Ausführung von unsigniertem Programmcode sei aber erst mit dem Einsatz von TPM-Hardware zu erreichen.

Siehe dazu auch:

    * DRM von Vista angeblich ausgehebelt, Meldung auf heise Security
    * Vbootkit: Compromising Windows Vista Security, Hinweise zu den VBootkit-Vorträgen

Quelle und Links : http://www.heise.de/security/news/meldung/87697

[SiLæncer]

Der Entwickler Rafael Rivera hat ein einfaches Skript veröffentlicht, das eine Sicherheitslücke in der aktuellen Beta-Version von Windows 7 demonstriert. Microsoft hat auf die Klagen Vista-geplagter Anwender reagiert und lässt den Sicherheitsmechanismus der Benutzerkontensteuerung (UAC) in Windows 7 seltener nachfragen. Insbesondere dürfen Anwender per Voreinstellung standardmäßig Systemeinstellungen ändern, ohne eine zusätzliche Sicherheitsabfrage abnicken zu müssen.

Das simple Hacker-Skript sendet Windows Tastaturbefehle, die den UAC-Konfigurationsdialog öffnen und die Benutzerkontensteuerung umkonfigurieren. Der Anwender erhält keinen Warnhinweis, sondern lediglich die Aufforderung, seinen PC neu zu starten, um die Änderungen zu übernehmen. Das Skript funktioniert bei der deutschen Beta zwar erst nach einer Modifikation, dies ändert am "Proof of Concept" aber nichts.

Microsoft hat gegenüber dem Blogger Long Zheng bestritten, dass es sich hier um eine Sicherheitslücke handele, die in der finalen Windows-7-Version behoben werden müsste. Damit das bösartige Skript die Einstellung ohne das Wissen des Anwenders ändern kann, müsse es ja bereits auf dem PC laufen -- der Rechner sei also bereits kompromittiert worden. Diese Argumentation erscheint allerdings nicht schlüssig, denn das Skript funktioniert ohne Administratorrechte und der Anwender muss es nicht privilegieren, damit es die Einstellung ändern kann.

Quelle : www.heise.de

[SiLæncer]

Nach Barack Obama versuchen nun auch Microsofts Entwickler mit einem impliziten "We screwed up" – wir haben's vermasselt – nochmal die Kurve zu kriegen: Sie wollen die Steuerung der Sicherheitsabfragen in Windows 7 doch nachbessern.

Windows 7 soll die Zahl Sicherheitsabfragen der Benutzerkontensteuerung (UAC) deutlich reduzieren. Dazu führen die Redmonder mehrere Zwischenstufen ein, in denen Windows Änderungen am System durch Programme automatisch durchwinkt. Prompt zeigten am Wochenende Sicherheitsexperten, dass ein bösartiges Skript damit UAC ohne jegliche Benutzerinteraktion abschalten kann. Kurze Zeit später gab es sogar eine Demonstration wie ein Programm sich für seine eigene Aktivitäten uneingeschränkte Adminstratorrechte verschaffen kann.

Microsofts erste Reaktion war, dass dies kein Sicherheitsproblem darstelle, sondern dem Design der Funktion entspreche. Gestern eierte das Entwicklerteam noch herum, und erklärte in einem langen Beitrag eigentlich nur, warum dies keine Sicherheitslücke sei und dass UAC genau so funktioniere wie es soll. Primär ginge es vor allem darum, zu verhindern, dass überhaupt böser Code zur Ausführung käme.

Jetzt hat das Entwicklerteam auf die überwiegend negativen Rückmeldungen reagiert, spricht in einem weiteren Blog-Beitrag von Fehlern, die man beheben wolle. Zum einen wollen die Entwickler den Prozess zur Steuerung der UAC-Stufe mit hoher Integritätsstufe laufen lassen, was dafür sorgt, dass ihn andere Prozesse mit niedrigeren Stufen nicht manipulieren können. Zum zweiten soll eine Änderung der UAC-Stufe immer einen UAC-Prompt erzwingen.

Etwas vorsichtiger als Obama zwar, aber ähnlich zielgerichtet gestehen die Redmonder mit ihrem Blog-Beitrag nicht nur Fehler beim Design der Funktion, sondern auch in der Kommunikation ein. Und sie versuchen auch gleich beides zu verbessern. Jetzt wollen sie wieder "Spaß mit Windows 7" haben.

Quelle : www.heise.de

[SiLæncer]

Die Sicherheitsspezialisten Vipin Kumar und Nitin Kumar haben anlässlich der Hack In The Box Sicherheitskonferenz Proof-of-Concept-Code gezeigt, der es ihnen ermöglicht, die Kontrolle über eine Virtual Machine mit Windows 7 während ihres Starts zu übernehmen.

Ihr "VBootkit 2.0" genannter Ansatz verändert im Zuge des Startprozesses einige Dateien von Windows 7, während diese in den Speicher geladen werden, meldet 'NetworkWorld'. Sie nutzen die falsche Annahme aus, dass der Start-Prozess vor Angriffen sicher ist.

VBootkit 2.0 kann nur schwer nachgewiesen werden, weil keine Dateien auf der Festplatte verändert werden. Dennoch stellt der Ansatz nicht unbedingt eine ernste Gefahr dar, da eine Attacke nicht über das Internet möglich ist. Der Angreifer muss stattdessen direkten physischen Zugang zum jeweiligen PC haben.

Bei einem Neustart des jeweiligen PCs verliert der Angreifer zudem die Kontrolle, da die im Speicher abgelegten Daten gelöscht werden. VBootkit 2.0 ist die Weiterentwicklung einer ähnlichen Lösung, die für Windows Vista entwickelt wurde und bereits 2007 zu sehen war. Mit der neuen Version kann sich ein Angreifer höhere Rechte verschaffen, Passwörter zurücksetzen und den PC des Opfers über das Internet steuern.

Quelle : http://winfuture.de

[berti]

hab die presentation live miterleben können, einfach nur erschreckend, was da möglich ist   

Das schlimmste an der sache ist, das es kaum  nachweisbar ist, denn es ist möglich, das passwörter nur zur laufzeit geändert werden, beim nächsten booten is dann wieder alles "normal"..

Und das allerschlimmste war, das ein grinsender Nitin dann auch noch behaupete, KEIN betriebssystem ist sicher, mit ein wenig basteln wollen die beiden demnächst auch ne lösung für andere Systeme vorstellen..

[SiLæncer]

Ja ...das find ich auch ganz schön krass 

[Snoop]

Na, was glaubt Ihr denn, wie NSA , BKA und Co an Daten kommen?

Ich bin mir sicher, dass die das schon lange kennen und jetzt zumindest ein wenig nervös werden.

[SiLæncer]

Microsoft-Evangelist Daniel Melanchthon hat Presseberichte über eine angeblich nicht behebbare Sicherheitslücke in Windows 7 zurückgewiesen. Diese seien schlicht falsch, erklärte er in seinem Blog.

Die Sicherheitsspezialisten Vipin Kumar und Nitin Kumar hatten anlässlich der Hack In The Box-Sicherheitskonferenz gezeigt, wie sich ein Windows 7-System während des Boot-Vorgangs kapern lässt. Sie behaupteten, dass es sich um ein Design-Problem handelt, das faktisch nicht zu beheben ist.

Der Angreifer benötigt allerdings physikalischen Zugang zum System und manipuliert mit dem VBootkit-Skript die beim Booten in den RAM geladenen Daten. Der Angriff sei also kaum wirklich problematisch, da ein direkter Zugang zum System selbst ohnehin die meisten Sicherheits-Mechanismen aushebelt, so Melanchthon. Dies gelte nicht nur für Windows, sondern auch für andere Systeme.

"Was in all den Artikeln jedoch verschwiegen wird, ist die Tatsache, dass Microsoft schon bei der Entwicklung von Windows Vista derartige Angriffsszenarien auf dem Radar hatte und mit Bitlocker eine Lösung implementiert hat, die auch gegen die in den obigen Artikeln beschriebene Angriffstechnik wirksam schützt. Wie schon damals lautet auch heute die Antwort Bitlocker mit Secure Startup", erklärte Melanchthon weiter.

Daher seien die Aussagen, dass es sich um ein Designproblem von Windows 7 handelt und es keinen Fix dagegen geben würde, schlicht falsch. "Es sei denn, man würde dem Angreifer freiwillig auch noch seinen Bitlocker-Schlüssel geben", so Melanchthon.

Quelle : http://winfuture.de

[SiLæncer]

Indische Forscher haben die Quelltexte eines Boot-Rootkits für Windows 7 als Open Source veröffentlicht, das sie kürzlich auf einer Hacker-Konferenz vorgestellt hatten. Es ermöglicht die komplette Kontrolle über den befallenen PC.

Auf der Sicherheitskonferenz Hack In The Box (HITB) in Dubai haben indische Forscher im April eine neue Version eines so genannten Bootkits vorgestellt. Vipin Kumar und Nitin Kumar wollen mit "VBootkit 2.0" zeigen, dass Designfehler in Windows 7 einem Angreifer die volle Kontrolle über das System ermöglichen können. Um VBootkit installieren zu können, ist jedoch derzeit noch ein direkter Zugriff auf den PC erforderlich.

Mit VBootkit 2.0 soll es möglich sein, die Zugriffsrechte des Angreifers bis hin zu Systemprivilegien zu erhöhen. Ein Angreifer kann die Passwörter von Benutzern ändern und später wieder herstellen, um den Angriff zu vertuschen. VBootkit nutzt die Annahme des Betriebssystems aus, der Boot-Vorgang sei sicher und könne nicht kompromittiert werden.

Eigentlich hatten die Forscher von NVlabs verkündet, sie wollten den Code ihres Rootkits nicht veröffentlichen. Was nun, kaum zwei Wochen später, zu ihrem Sinneswandel geführt hat, haben sie offen gelassen. Vipin Kumar hat lediglich erklärt, man wolle anderen Sicherheitsforscher helfen neue Schutzstrategien zu entwickeln.

Die Forscher geben an, VBootkit könne derzeit nicht entdeckt werden. Es ist jedoch möglich Angriffe dieser Art präventiv zu verhindern. Dazu genügt die leider nur mit den teuersten Windows-Versionen (etwa Vista Ultimate) ausgelieferte Festplattenverschlüsselung "Bitlocker" im Zusammenspiel mit einem Trusted Platform Modul (TPM).

Derzeit ist VBootkit 2.0 lediglich eine Demonstration eines möglichen Angriffs. Online-Kriminelle könnten den Code jedoch weiter entwickeln und mit andere Angriffen kombinieren, um es auch ohne direkten Zugriff auf den Rechner einsetzen zu können.

Quelle : www.pcwelt.de

[SiLæncer]

Die im vergangenen Februar korrigierte Schwachstelle in der Benutzerkontensteuerung (UAC) der Beta-Version von Windows 7 muss Microsoft nun im Release Candidate 1 erneut beschäftigen. Mit einem überarbeiteten Exploit ist es weiterhin möglich, an Adminrechte auf einem System zu gelangen, ohne dass ein UAC-Prompt den Anwender warnt oder um Erlaubnis bittet. Angreifer können dies nutzen, um Schädlinge tief in einem System zu verankern – etwas, das die UAC eigentlich verhindern soll.

In Windows 7 kann der Anwender einstellen, ab wann eine Anwendung um Berechtigung beim Anwender nachfragen muss.

In Windows 7 wollen die Redmonder die Zahl der Sicherheitsabfragen der UAC im Vergleich zu Vista deutlich reduzieren. Dazu führen die Redmonder mehrere Zwischenstufen ein, in denen Windows Änderungen am System durch Programme automatisch durchwinkt. Für die Beta-Version von Windows 7 zeigten Sicherheitsexperten aber, dass ein bösartiges Skript damit die UAC ohne jegliche Benutzerinteraktion abschalten kann. Kurze Zeit später gab es sogar eine Demonstration, wie ein Programm sich für seine eigene Aktivitäten uneingeschränkte Adminstratorrechte verschaffen kann.

Zwar dementierte Microsofts zunächst, dass dies ein Sicherheitsproblem darstelle und stellte fest, dass dies vielmehr dem Design der Funktion entspräche. Der Widerstand hielt allerdings nur kurz und der Softwarekonzern kündigte an, die UAC zu überarbeiten. In der Tat funktionieren nun die alten Angriffe im RC1 nicht mehr. Der nun veröffentlichte Exploit zeigt aber, dass das Problem nur halbherzig angegangen wurde. In einem kurzen Test der heise-Security-Redaktion ließ sich eine Eingabeaufforderung ohne UAC-Prompt mit Administratorrechten öffnen. Der Exploit nutzt dazu DLL-Injection in laufende, unprivilegierte Prozesse wie explorer.exe oder taskhost.exe.

Mit dem Exploit lassen sich verschiedene Szenarien testen, wann und ob die UAC anspricht oder nicht.

Hinweisen zufolge soll Microsoft über das neue Problem informiert sein und prüfen, ob man reagieren müsse. Will man den RTM-Meilenstein (Release To Manufacturing) in der zweiten Julihälfte einhalten, muss man sich wohl beeilen. Der Blogger Long Zengh hat auf seinen Seiten ein Video veröffentlicht, dass die Probleme mit der UAC vorführt.

Quelle : www.heise.de

[SiLæncer]

Der österreichische IT-Sicherheitsspezialist Peter Kleissner hat auf der Sicherheitskonferenz Black Hat ein Bootkit namens Stoned demonstriert, das in der Lage ist TrueCrypts vollständige Partitions- und Systemverschlüsselung auszuhebeln. Bootkits sind eine Kombination aus einem Rootkit und der Fähigkeit des Schädlings, den Master Boot Record des PC zu modifizieren und so bereits vor dem Start des Betriebssystems aktiv zu werden.

Kleissners im Sourcecode verfügbares Bootkit kann alle gängigen 32Bit-Windows-Varianten von Windows 2000 bis hin zu Windows Vista und dem Release Candidate von Windows 7 infizieren. Stoned schreibt sich in den Master Boot Record (MBR), der auch bei einer vollständig kodierten Festplatte stets unverschlüsselt ist. Beim Start wird das Bootkit zuerst vom Bios aufgerufen. Das Bootkit startet dann den TrueCrypt-Bootloader. Um die TrueCrypt-Verschlüsselung auszuhebeln, biegt Kleissner nach eigenen Angaben keine Hooks um und modifiziert den Bootloader auch nicht. Vielmehr leitet er den I/O-Interrupt 13h per "Double Forward" um und kann sich so zwischen die Windows-Aufrufe und TrueCrypt hängen. Kleissner hat Bootkit speziell auf TrueCrypt angepasst, wobei ihm der frei verfügbare Quellcode diente.

Ist das Betriebssystem geladen, kann Stoned beispielsweise einen Banking-Trojaner im System installieren. Der erst 18-jährige Peter Kleissner gibt Stoned verschiedene Plug-Ins mit, wie einen Boot-Passwort-Cracker oder eine Routine zum Infizieren des Bios. Da Stoned als Framework konzipiert ist, können andere Programmierer eigene Plug-Ins dafür entwickeln. Aus seiner Sicht könnte Stoned auch für Ermittlungsbehörden interessant sein, etwa zur Entwicklung eines Bundestrojaners.

Einmal installiert, soll Stoned Kleissner zufolge von herkömmlicher Antiviren-Software nicht mehr entdeckt werden können, da keinerlei Modifikationen der Windows-Komponenten im Speicher stattfinden. Stoned läuft neben dem eigentlichen Windows-Kernel. Auch eine Antiviren-Funktion des Bios stoppt Stoned nicht, da moderne Windows-Versionen den MBR ohne Zutun des Bios modifizieren.

Für eine Infektion sind aber Administratorrechte oder physischer Zugang erforderlich. Momentan funktioniert die Infektion nur auf Maschinen mit herkömmlichem Bios. Arbeitet auf dem Mainbord der Bios-Nachfolger EFI, scheitert die Infektion. Der wohl wirksamste Schutz ist eine vollständige Verschlüsselung der Festplatte durch eine Software, die auf dem Trusted Platform Module (TPM) basiert.

So soll der Einsatz der Windows-eigenen Verschlüsselung BitLocker ein sicheres Gegenmittel sein, da der Hashwert des MBR nach der Infektion nicht mehr mit dem im TPM gespeicherten übereinstimmt und das TPM so den Bootvorgang stoppt. Ob eine in Hardware verschlüsselnde Festplatte ebenfalls schützt, vermochte Kleissner auf Nachfrage nicht zu beantworten.

Quelle : www.heise.de

[Jürgen]

Bei mir ist kein freier Platz im MBR, denn den belegt bis auf wenige Bytes der fette Bootmanager von XFDISK.
Und pfuscht weroderwasauchimmer am MBR herum, erscheint entweder das XFDISK Bootmenue nicht mehr, oder es meckert.
Und dann gibt's hier eine Bootfloppy bzw. -CD zur schnellen Reparatur, mit DOS und XFDISK. Falls auf C: mein Win98SE (default OS) doch einmal partout nicht wollen sollte...
Die Boot-Routinen von 2k und XP liegen hier ja auch auf C:, auch von dem Laufwerk gibt's zudem regelmässig externe Image-Sicherungen, die wiederum auch unter DOS zurückgeschrieben werden könnten.
Verschlüsselung interner Platten brauche ich mangels brisanter dortiger Inhalte nicht.
Verklapsen kann ick mir alleene...

[SiLæncer]

Peter Kleissner, der schon vor einigen Monaten mit "Stoned Bootkit" auf sich aufmerksam gemacht hat und damit sämtliche Verschlüsselungssysteme auf Windows-Systemen umgehen konnte, wurde jetzt mit einer Reihe von Straf- und Zivilanzeigen übersät.

Der erst 18-jährige Schüler Peter Kleissner bezeichnet sich selbst als "Software-Entwickler" - und seine Arbeit sowie seine Einladungen zu Konferenzen und von Medien bestätigen das. Weniger angenehm dürfte nun die Tatsache sein, dass er von seinem ehemaligen Arbeitgeber, dem Anti-Viren-Hersteller Ikarus in Wien, mehrfach verklagt wurde. Schon vor einigen Wochen wurde ihm fristlos gekündigt - in Zusammenhang mit dem "Viren-Framework" Stoned-Bootkit.

Von Ikarus wurde er jetzt zusätzlich verklagt, da er angeblich unrechtmäßig Quellcodes, die als Geschäftsgeheimnis gelten, kopiert und unter dem Namen AV Tracker "international zum Verkauf" angeboten haben. Dabei bezieht sich Ikarus auf ein "Easter Egg" - eine versteckte Botschaft im Quellcode - die laut Angaben von Peter Kleissner nichts weiter als ein Scherz gewesen sein soll. "Bis auf einige haltlose Aussagen in den Medien oder auf meinem Blog haben sie nichts in der Hand", so Peter Kleissner. 80 Prozent des betreffenden Source-Codes, an dem er damals arbeitete, würde ohnehin aus Open-Source-Code bestehen, sagte er gegenüber gulli:news.

Ikarus fordert nun eine sofortige Unterlassung seiner Aktivitäten sowie einen Schadensersatz, da sie nun ihre Software im Wert von über 30.000 Euro neu entwickeln müssten. Zusätzlich soll der Verkauf unterbunden werden. Da durch die Verbreitung des Anti-Viren-Codes "Gefahr im Verzug" sei, wurde ein Strafverfahren eingeleitet. Kapersky Labs hat sich der Strafanzeige angeschlossen. Diese wollen eine ganze Reihe krimineller Handlungen bei Peter Kleissner festgestellt haben. Das geht von "Verbreitung von Schadcode", "Verfassen, Veröffentlichen und Anwenden von Schadcode, die aus Schädigung von Sicherheitsunternehmen abzielt", bis hin zu "versuchter Erpressung". Angeblich würde sein Bootkit auch "elektromagnetische Strahlen" abfangen und so den Monitor zu einer potenziellen Schwachstelle machen. Alles in allem kommt in dem Verfahren eine Strafsumme von über 100.000 Euro zusammen.

Eine erste öffentliche Anhörung wird am 25. Januar 2010 in Wien stattfinden. Momentan wird die Sachlage von einem Sachverständigen geprüft. Kleissner selbst bezeichnet die Vorwürfe als haltlos. In einem passwortgeschützen Posting schreibt er: "Es ist zwar ein laufendes Verfahren, bis jetzt wurde aber keine Anklage erhoben. Im Moment soll ein Sachverständiger prüfen ob AV Tracker und das Stoned Bootkit für widerrechtlichen Zugriff verwendet werden kann. Bei dem Verfahren bin ich noch relativ relaxt, die Anzeigen bestehen nur aus Anschuldigungen, Tweets, Blog Postings und Zeitschriftenartikel. Es ist lächerlich mein Programm Stoned Bootkit, dass ich auf einer Sicherheitskonferenz (!) vorgestellt habe, als illegal darzustellen, und das noch von einer Antivirenfirma aus."

Quelle : www.gulli.com