Aktualisierung auf Malware

Aus MittelstandsWiki
Version vom 6. Dezember 2017, 05:48 Uhr von FEichberger (Diskussion | Beiträge) (korr.)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Schadsoftware kommt per Update

Von Uli Ries

„Evilgrade“ tauften die argentinischen Hacker das Tool, mit dem sie vor knapp drei Jahren erstmals Angriffe auf automatische Softwareaktualisierungen ritten. Weit verbreiteten Anwendungen wie Adobe Reader, die Java Run Time Edition von Sun, Apple iTunes, WinZip oder Winamp wurde per Evilgrade kein Update verabreicht, sondern Malware untergeschoben. Die vermeintliche Neufassung war ein Trojaner, der von der Update-Funktion bereitwillig installiert wurde und den Hackern per Reverse Shell volle Kontrolle über den PC des Opfers brachte.

Inzwischen haben die Hacker das Evilgrade-Framework überarbeitet – und können jetzt mehr als 60 legitime Anwendungen aufs Korn nehmen. Neben den Update-Funktionen der genannten Programme sind u.a. die Mechanismen der Browser Safari und Opera, von Apples QuickTime und auch der der Open-Source-Virtualisierungslösung VirtualBox prinzipiell verwundbar. Einzig Adobe hat den Reader aus der Schusslinie genommen und die Update-Technik überarbeitet.

Das perfide an Evilgrade: Die Attacke funktioniert prinzipiell auf allen Plattformen wie Windows, Mac OS X oder Linux. Denn angegriffen wird ja die Anwendung bzw. deren Updater. Die Attacke basiert darauf, dass die verwundbare Anwendungen Updates ohne weitere Prüfung vom Update-Server herunterladen und installieren – nur dass Evilgrade die Bezugsquelle tückisch simuliert. Der Angreifer hat die Möglichkeit, die Beschreibung und den Dateinamen des vermeintlichen Upgrades frei zu wählen.

Kommunikation-und-netze-2015-02.jpg
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Ohne Zertifikat oder Signatur

Voraussetzung für den Evilgrade-Angriff ist eine vorangegangene Attacke auf die DNS-Einstellungen des Opfers, damit die Anwendung bei ihrer Suche nach dem Update-Server zum böswilligen Rechner umgeleitet wird. In einem Intranet oder auch an öffentlichen Orten wie Hotellobbys, Internet-Cafés oder Flughafen-WLAN-Hotspots ist das sehr leicht per Man-in-the-Middle-Angriff zu bewerkstelligen. Soll der Angriff über das Internet stattfinden, ist mehr Aufwand nötig. Laut den argentinischen Experten stehen mit Techniken wie DNS-Cache-Poisoning aber wirksame Verfahren bereit.

Evilgrade.jpg Der Malware-Nachlader Evilgrade hat sein Zielspektrum erweitert.

Dabei könnten die Softwarehersteller vergleichsweise leicht Schluss machen mit Angriffen wie denen von Evilgrade. So würde z.B. ein per SSL gesicherter Transfer der Updates Angriffe ins Leere laufen lassen. Hier müsste Evilgrade das passende SSL-Zertifikat präsentieren, andernfalls würde der Upgrade-Vorgang mit einem Zertifikatsfehler unterbrochen. Evilgrade kann diese Fehler nicht verhindern. Auch vom Hersteller der Originalsoftware signierte Updates –wie sie z.B. ausnahmslos per Windows Update verteilt werden – bremsen den Angreifer aus, da unsignierte Installationsprogramme ebenfalls eine Warnmeldung ausgeben.

Fazit: Hotspots in der Schusslinie

Die neue Version von Evilgrade macht klar: Softwarehersteller sollten noch mehr Sorgfalt auf das Absichern ihrer Update-Mechanismen verwenden. Prinzipiell sind diese Mechanismen überaus löblich, da sie es einem Endkunden abnehmen, ständig nach Updates zu suchen. Andererseits bringen sie die Nutzer und ihre PCs unnötig in Gefahr.

Anwender sollten Update-Meldungen ignorieren, wenn sie sich mit ihrem Laptop an einem öffentlichen Ort samt Internet-Zugang aufhalten. Einzig die Meldungen von Windows Update – das ja z.B. auch Microsoft Office mit Neuerungen versorgt – dürfen derzeit als sicher betrachtet werden. Vergleichsweise gering ist die Gefahr auch, wenn Laptop oder Smartphone nicht per WLAN, sondern per UMTS mit dem Internet verbunden sind. Der Aufwand, um die Attacke in einem Mobilfunknetz umzusetzen, ist genauso hoch wie bei einer herkömmlichen DSL-Verbindung: Der Angreifer müsste die DNS-Einstellungen verändern oder den Nameserver des Providers angreifen. Beides ist möglich, aber aufwändig.

Nützliche Links