• Artikel

Sicherheit auf dem PrüfstandInselspringen:Die ansteckende Verlockung von Werbegeschenken

Jesper M. Johansson

Die Methode des so genannten Inselspringens (Island Hopping) – das Eindringen in ein Netzwerk durch eine Schwachstelle und das weitere Angreifen von Systemen innerhalb dieses Netzwerks – ist seit Jahren bekannt.Doch sie nimmt fortwährend neue Dimensionen an.In den heutigen sicherheitsbewussten IT-Umgebungen ist der Mensch oft die größte Schwachstelle, und böswillige Benutzer

finden Möglichkeiten, dies zu ihrem Vorteil auszunutzen (denken Sie nur an Phishing und andere Formen des Social Engineering).Diese Kombination aus Mensch und Maschine kann sich für Ihr Netzwerk als verhängnisvoll erweisen.

Eine meiner Lieblingsimplementierungen, die das menschliche Element nutzt, wurde von Steve Stasiukonis von Secure Network Technologies während eines Penetrationstests für einen Kunden durchgeführt.Er verteilte USB-Flashlaufwerke, auf denen ein Trojaner installiert war, auf dem Parkplatz des Kunden.Die Mitarbeiter, die am Morgen zur Arbeit eintrafen, freuten sich über die kostenlosen Geräte, die auf dem Parkplatz herumlagen.Sie sammelten die USB-Laufwerke auf und schlossen sie an den ersten Computer an, den sie finden konnten:die eigene Arbeitsstation.

Einige Mitarbeiter waren vielleicht klug genug, um die USB-Laufwerke zu ignorieren oder wegzuwerfen, aber es war ja nur ein einziger Benutzer erforderlich, der sein eigenes System infizierte und damit ein Gateway ins Netzwerk bereitstellte.Stasiukonis führt das Ganze natürlich nur als Test durch, aber diese Methode wurde auch schon von Kriminellen eingesetzt, um in große Unternehmensnetzwerke einzudringen.

USB-Flashlaufwerke sind heute überall anzutreffen.Auf fast jeder Konferenz verteilen einige Anbieter sie wie Süßigkeiten.Diese Laufwerke haben möglicherweise nur geringe Kapazität, aber es ist nicht viel Speicherplatz erforderlich, um die Kontrolle über ein ganzes Netzwerk zu erhalten.In dieser zweiteiligen Reihe werden Angriffe dieser Art untersucht und Möglichkeiten zur Risikominderung aufgezeigt.Im Artikel dieses Monats wird erläutert, was mit USB-Flashlaufwerken möglich ist und welche Maßnahmen Sie zu ihrer Kontrolle einsetzen können.In der nächsten Ausgabe des TechNet Magazins erfahren Sie, wie Sie einen Angriff auf ein einzelnes System oder eine kleine Anzahl von Systemen im Netzwerk begrenzen können.

Die technischen Einzelheiten des Angriffs sind im Grunde recht einfach.Alles beginnt mit einem infizierten USB-Flashlaufwerk, das an einen einzelnen Computer angeschlossen wird.Was dann geschieht, hängt von der Nutzlast auf dem Laufwerk und natürlich von der Leichtgläubigkeit des Benutzers ab.

So fing alles an

Auf dem Podium befand sich ein unbeaufsichtigter Laptop.Der Referent war vor Beginn seiner Präsentation damit beschäftigt, sich dem Publikum vorzustellen.Der Laptop war gesperrt, aber das spielte kaum eine Rolle.Der Angreifer schlenderte zum Podium, und es entstand der Eindruck, er warte auf die Rückkehr des Referenten.Da Podien hässliche Gegenstände wie Computer möglichst verbergen sollen, waren die USB-Ports und die Hände des Angreifers vor Beobachtung geschützt.Als das USB-Flashlaufwerk erst einmal an den Computer angeschlossen war, dauerte der eigentliche Angriff nur wenige Sekunden.

Es gibt zu diesem bestimmten Thema natürlich eine Reihe von Variationen.Als ich noch in der Welt umherreiste und jede Woche Präsentationen hielt, baten mich anschließend fast jedes Mal einige Zuhörer um eine Kopie meiner Folien.Ich überreichte ihnen immer eine Visitenkarte und bat sie, mir eine E-Mail-Nachricht zu senden.Warum ich das tat, wenn alle mir eifrig ein USB-Flashlaufwerk anboten?Weil ich Tools wie USB Hacksaw und Switchblade kenne.(Wenn Sie damit nicht vertraut sind, finden Sie Informationen unter wiki.hak5.org.)

Mithilfe dieser Tools kann praktisch jeder die Unvorsicht von Benutzern ausnutzen, die ihre USB-Ports nicht schützen.Switchblade beispielsweise kann Folgendes abrufen:

  • Systeminformationen
  • Alle Netzwerkdienste
  • Eine Liste der Ports, die Abfragen durchführen
  • Alle Produktschlüssel der auf dem Computer installierten Microsoft-Produkte
  • Die lokale Kennwortdatenbank
  • Das Kennwort aller Drahtlosnetzwerke, die der Computer verwendet
  • Alle Netzwerkkennwörter, die der derzeit angemeldete Benutzer auf dem Computer gespeichert hat
  • Internet Explorer®-, Messenger-, Firefox- und E-Mail-Kennwörter
  • Geheiminformationen der lokalen Sicherheitsautorität (Local Security Authority, LSA), die alle Kennwörter der Dienstkonten in Klartext enthalten
  • Eine Liste installierter Patches
  • Eine Liste der aktuell besuchten Websites

Dies alles wird in einer Protokolldatei auf dem Flashlaufwerk gespeichert, was ungefähr 45 Sekunden dauert.

Hacksaw ist eine leicht abgeänderte Version. Das Tool installiert einen Trojaner auf dem Computer, der überwacht, wann ein USB-Flashlaufwerk angeschlossen wird.Dann sendet es alle Dokumente von allen Flashlaufwerken, die anschließend an den Computer angeschlossen werden, per E-Mail an den Angreifer.

Die bisher erörterten Tools verwenden U3 (u3.com), eine Technologie, die es Benutzern ermöglichen soll, Programme auf einem Flashlaufwerk mit sich zu tragen.Im Prinzip verbreitet ein U3-aktiviertes Flashlaufwerk Lügen über sich.Es teilt dem Betriebssystem mit, dass es sich um einen USB-Hub mit einem Flashlaufwerk und einer angeschlossenen CD handelt.Windows®-Versionen vor Windows Vista® führen standardmäßig automatisch Programme aus, die in der autorun.inf-Datei auf CDs angegeben sind, nehmen dies aber nicht bei USB-Laufwerken vor.Das U3-aktivierte USB-Flashlaufwerk verleitet das Betriebssystem nun dazu, das so genannte U3-Startprogramm automatisch auszuführen.Das U3-Startprogramm wiederum kann Programme starten, Ihnen ein Menü bieten oder so ziemlich alles vornehmen was Sie selbst mit dem Computer tun könnten.

Die Exploittools ersetzen praktisch nur das Startprogramm durch den Angreifercode.Sobald das Flashlaufwerk an ein Windows XP-System angeschlossen wird, kommt es zur automatischen Ausführung des Exploittools.Bei Windows Vista verläuft der Entscheidungsfluss bei der automatischen Wiedergabe anders.Die automatische Wiedergabe wird nämlich genau wie bei CDs auf Wechseldatenträgern aktiviert.Das heißt, es passiert etwas, wenn das Gerät angeschlossen wird.Standardmäßig wird das Dialogfeld für die automatische Wiedergabe angezeigt, wie in Abbildung 1 dargestellt.

Abbildung 1 Das Standarddialogfeld für die automatische Wiedergabe wird angezeigt, wenn ein Benutzer einen austauschbaren Datenträger mit Bildern anschließt.

Abbildung 1** Das Standarddialogfeld für die automatische Wiedergabe wird angezeigt, wenn ein Benutzer einen austauschbaren Datenträger mit Bildern anschließt. **

Beachten Sie, dass das Dialogfeld in Abbildung 1 die Option „Always do this for pictures“ (Immer bei Bildern durchführen) aufweist.Damit wird eine Option für die automatische Wiedergabe festgelegt, die in der Systemsteuerung konfiguriert werden kann, wie in Abbildung 2 dargestellt.

Abbildung 2 Konfiguration für die automatische Wiedergabe in Windows Vista

Abbildung 2** Konfiguration für die automatische Wiedergabe in Windows Vista **(Klicken Sie zum Vergrößern auf das Bild)

Die Konfiguration für die automatische Wiedergabe ist besonders interessant für „Software und Spiele“.Definitionsgemäß bedeutet dies, dass auf dem austauschbaren Datenträger eine autorun.inf-Datei vorhanden ist, die ein auszuführendes Programm angibt.Die Einstellungen in Abbildung 2, die sich auf „Software und Spiele“ beziehen, sind im folgenden Registrierungsschlüssel gespeichert:

Hive:    HKEY_CURRENT_USER
Key:    \Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\
UserChosenExecuteHandlers\AutorunINFLegacyArrival 
Value: (Default)
Data:
MSAutoRun – automatically executes the program specified in the autorun.inf file
   
MSPromptEachTime – prompts the user, using strings specified in the autorun.inf file, if available

Da Sie nicht über Administratorrechte verfügen müssen, um diese Einstellungen zu ändern, können Benutzer sie nach Belieben festlegen und auch automatisch Malware ausführen lassen, die sich auf dem Laufwerk vom Parkplatz befindet.Dazu muss nur das entsprechende Kontrollkästchen im Dialogfeld für die automatische Wiedergabe markiert werden.

Die Verwaltung der automatischen Wiedergabe in Ihrem Netzwerk

Als Administrator haben Sie einige Möglichkeiten zum Verwalten der automatischen Wiedergabe in Ihrem Netzwerk.Zum einen können Sie verhindern, dass Benutzer die automatische Wiedergabe auf Wechselmedien und CDs aktivieren, indem Sie die NoDriveTypeAutoRun-Einstellung ändern. Diese Einstellung steuert, für welche Laufwerktypen die automatische Wiedergabe aktiviert ist.Bei Windows XP war NoDriveTypeAutoRun standardmäßig auf 0x95 eingestellt, wodurch die automatische Wiedergabe auf unbekannten Laufwerktypen, Netzwerklaufwerken und Wechseldatenträgern deaktiviert ist.Ab Windows XP SP2 ist die NoDriveTypeAutoRun-Einstellung standardmäßig auf 0x91 konfiguriert.Dadurch wird die automatische Wiedergabe auf Wechselspeichermedien aktiviert.Bei Verwenden der Gruppenrichtlinie gibt es eine Einstellung unter Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Richtlinien für die automatische Wiedergabe, mit deren Hilfe Sie die NoDriveTypeAutoRun-Einstellung verwalten können.Beim Aktivieren von „Turn off AutoPlay setting and select CD-ROM and Removable Drives“ (Automatische Wiedergabe deaktivieren und CD-ROM und austauschbaren Datenträger auswählen) wird die automatische Wiedergabe bei beiden Laufwerktypen deaktiviert.

In diesem Fall wird dem Benutzer jedoch nicht das Dialogfeld für die automatische Wiedergabe in Abbildung 1 angezeigt.Eigentlich geschieht überhaupt nichts, wenn der Benutzer das Laufwerk anschließt.Das dürfte jedoch keine ideale Lösung sein, da dies den Benutzer verwirren könnte, der sich nun nicht sicher ist, wie er auf die gewünschten Informationen auf dem Laufwerk zugreifen kann.

Es ist wahrscheinlich eher angebracht, die Art der Inhalte zu steuern, die automatisch wiedergegeben werden können.Dies ist bei Windows Vista in gewissem Umfang möglich, da dieses Betriebssystem praktisch über zwei Steuerungsmöglichkeiten für die automatische Wiedergabe von Software verfügt.Ein weiteres Steuerelement in der Gruppenrichtlinie, das in Abbildung 3 dargestellt ist, ermöglicht die Deaktivierung der automatischen Wiedergabe von Software, die autorun.inf-Dateien verwendet, und zwar ohne Auswirkungen auf das übrige Windows Vista-Verhalten bei der automatischen Wiedergabe.

Abbildung 3 Deaktivieren von autorun.inf-Dateien mithilfe der Gruppenrichtlinie

Abbildung 3** Deaktivieren von autorun.inf-Dateien mithilfe der Gruppenrichtlinie **(Klicken Sie zum Vergrößern auf das Bild)

Der Entscheidungsfluss bei der automatischen Wiedergabe ist etwas kompliziert. Er lässt sich wahrscheinlich am einfachsten mit einem Flussdiagramm darstellen.Abbildung 4 zeigt den Entscheidungsfluss, über den festgelegt wird, ob eine Datei auf Wechselmedien automatisch ausgeführt werden soll.

Abbildung 4 Der Entscheidungsfluss für die automatische Wiedergabe

Abbildung 4** Der Entscheidungsfluss für die automatische Wiedergabe **(Klicken Sie zum Vergrößern auf das Bild)

Andere Ansätze

Selbstverständlich sind diese nur einige Tools, die für Angriffe auf Computer mithilfe eines USB-Flashlaufwerks verwendet werden können.In dieses Szenario lassen sich eine Vielzahl anderer möglicher Tools einbringen, beispielsweise ein Tool, das ein Abbild des Windows NT®-Kennworthash des derzeit angemeldeten Benutzers erstellt (siehe microsoft.com/technet/community/columns/secmgmt/sm1005.mspx).

Bei vielen USB-Controllern handelt es sich eigentlich um Geräte für den direkten Speicherzugriff (Direct Memory Access, DMA).Dies bedeutet, dass sie das Betriebssystem umgehen und direkt Lese-und Schreibvorgänge im Speicher des Computers durchführen können.Beim Umgehen des Betriebssystems werden die von ihm bereitgestellten Sicherheitseinrichtungen umgangen. Sie haben nun vollständigen und ungehinderten Zugriff auf die Hardware.Damit wird die vom Betriebssystem implementierte Gerätesteuerung völlig unwirksam.Ich kenne keine Hackertools, bei denen diese Methode derzeit verwendet wird, bezweifle aber sehr, dass dies noch nie der Fall war.

Eine weitere Möglichkeit zum Ausnutzen der Kombination Benutzer/Wechseldatenträger besteht in der Anzeige einer verlockenden Option.Wie viele Benutzer würden wohl auf den Dialog in Abbildung 5 klicken?Nicht alle, aber wahrscheinlich viele.Es dürfte eine recht einfache Aufgabe sein, sich ein äußerst verführerisches Dialogfeld auszudenken, dass der Benutzer einfach nicht ignorieren kann.

Abbildung 5 Wie viele Benutzer würden wohl darauf hereinfallen?

Abbildung 5** Wie viele Benutzer würden wohl darauf hereinfallen? **

Das Blockieren von Geräten

Als neue Funktion in Windows Vista verfügt die Gruppenrichtlinie jetzt über einen Richtliniensatz zum Steuern der Geräteinstallation (siehe Abbildung 6).Wie bereits erläutert, kann der Administrator alle neuen Wechselmedien blockieren, sodass sie bei Angabe durch den Treiber, dass sie austauschbar sind, nicht installiert werden.Wenn der Treiber angibt, dass sie es nicht sind, kommt die Richtlinie nicht zum Tragen.Folglich kann diese Richtlinie mithilfe von benutzerdefinierten Treibern umgangen werden.

Abbildung 6 Windows Vista-Richtlinien für die Geräteinstallation

Abbildung 6** Windows Vista-Richtlinien für die Geräteinstallation **(Klicken Sie zum Vergrößern auf das Bild)

Für eine präzisere Steuerung kann der Administrator die Richtlinien so verwenden, dass sie sich auf bestimmte Gerätesetupklassen auswirken.Dazu müssen Sie jedoch die GUID der betreffenden Geräteklasse kennen, die Sie blockieren (oder zulassen) möchten, was diesen Ansatz beträchtlich erschwert.

Das Prinzip der geringsten Rechte spielt eine wichtige Rolle

Wenn Sie das DMA-Szenario einen Moment außer Acht lassen, hängt der Erfolg der erläuterten Angriffe sowie der Erfolg der Gegenmaßnahmen von den Rechten des Benutzers ab, der den Computer verwendet.Bei einem Standardbenutzer ist der Schaden durch einen Exploit begrenzt.Die Daten des betreffenden Benutzers und alles, auf das der Benutzer Zugriff hat, können zwar gestohlen werden,doch der Angriff dürfte sich nicht auf das Netzwerk insgesamt auswirken.

Wenn es sich bei dem betreffenden Benutzer jedoch um einen Administrator handelt, können die Folgen insgesamt viel schlimmer sein.Schlimmstenfalls ist der Benutzer ein Domänenadministrator, sodass die Übernahme des ganzen Netzwerks einfach wäre.Der Angreifer könnte beispielsweise den Kennworthash des Benutzers aus dem Speicher extrahieren.Das System speichert den Hash bei der Anmeldung im LSA-Prozessbereich, sodass er verwendet werden kann, um im Namen des Benutzers transparent auf Netzwerkressourcen zuzugreifen.Ein Angreifer mit Administratorrechten kann diesen Hash extrahieren und damit auf alle Netzwerkressourcen zugreifen.Das heißt, wenn es sich bei dem Benutzer um einen Domänenadministrator handelt, ist die ganze Domäne betroffen.

Dies führt mich zum Thema Abhängigkeiten.Bisher wurde ein bestimmter Angriff auf Arbeitsstationen erläutert.Es wurde jedoch noch nicht untersucht, wozu der Angriff bei einem Netzwerk führen kann.Im Artikel des nächsten Monats wird das Konzept der Abhängigkeiten untersucht. Sie erfahren, welchen Stellenwert sie in einer Umgebung einnehmen und vor allem, was Sie zur Absicherung dieser Abhängigkeiten tun können.

Jesper M. Johansson ist Security Engineer, der an Problemen mit der Softwaresicherheit arbeitet und redaktionelle Beiträge für das TechNet Magazin schreibt.Er verfügt über einen PhD in MIS und kann auf mehr als 20 Jahre Erfahrung im Bereich Computersicherheit zurückblicken.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.