Dietmar Schnabel ist Regional Director Central Europe beim IT-Sicherheitsunternehmen Check Point Software Technologies.
Check Point
Durch steigende Datenbankeinbrüche, Spyware und Ransomware-Angriffe ist das Sicherheitsverständnis in den IT-Abteilungen von Unternehmen mittlerweile sehr gut ausgebildet. Trotzdem wurde mit Bashware eine Windows-Schwachstelle bekannt, mit der Angreifer beliebige Malware vorbei an Sicherheitsmechanismen auf Endgeräte einspeisen können. Dabei nutzten die Forscher die fehlende Absicherung vom neuen Subsystem for Linux (WSL), um unbemerkt Malware auf ein Betriebssystem zu schleusen.
WSL war bis vor kurzem noch in der Beta-Testphase und ermöglicht die Einbindung von Linux-Programmen in Windows 10. Für die User eigentlich eine gute Sache, denn die Interoperabilität bietet viele Vorteile. Allerdings wird auch klar, dass technologischer Fortschritt und die Vernetzung einzelner Systeme immer neuen Sicherheitsbedenken mit sich bringen.
WSL kann heimlich von Angreifern aktiviert werden
Man muss verstehen, dass im Zeitalter der Digitalisierung durch die umfassende Konnektivität Risiken sich in einzelnen Bereichen immer auf andere Teile auswirken. So muss WLS nicht bewusst installiert sein, sondern kann durch die Angreifer heimlich auf jedem Windows 10-Gerät aktiviert werden. Dabei wird dies jedoch nicht als Teil eines Angriffs erkannt.
Die Ausnutzung der Schwachstellen haben Forscher vorgezeigt und Microsoft arbeitet bereits an einer Lösung des Problems. Grob zusammengefasst gelangen die Angreifer über vier Schritte in die Position, unter der Hand des eigentlichen Besitzers Schadsoftware auf das System zu spielen.
- Als erstes überprüft Bashware, ob die WSL- Funktion des Windows-Systems aktiviert ist, indem es die Windows-Treiberpfade absucht. Falls die WSL-Funktion deaktiviert sein sollte, kann ein Hilfsprogramm hochgeladen werden, um WSL zu aktivieren. All dies geschieht im Hintergrund und ohne den Einsatz von Malware.
- Der nächste Schritt besteht aus der Aktivierung des Entwicklermodus des WLS. Normalerweise müsste der Nutzer diesen manuell einstellen, aber es gelang den Forschern – durch eine einfache Manipulation der Registrierdatenbank û diesen ebenfalls heimlich zu aktivieren. Alle Aktionen bisher bedürfen keinen Schädling und triggern auch keine Alarme.
- Zwar erlaubt der Developer-Modus umfassende Zugriffsrechte, allerdings reicht dies nicht aus, um Malware vor bestehenden Sicherheitsmechanismen zu verstecken. Trotzdem sind die Angreifer jetzt in der Lage ein komplettes Linuxsystem auf dem Endgerät zu installieren, dessen Fähigkeiten weit über das WLS hinausgehen. Dieser Vorgang ist ungewöhnlich, aber aus Sicht von IT-Sicherheitslösungen immer noch nicht als Teil einer Attacke erkennbar.
- In dieser Umgebung können die Microsoft-Schädlinge geladen und in Linux-Befehle umgewandelt werden. In der Linux-Umgebung funktioniert Windows-Malware nicht und wird auch nicht als Gefahr sichtbar. Erst durch das WLS kommt der Schadcode aus dem Linuxsystem auf das Windows-Zielsystem – ohne dessen Erkennung durch Sicherheitsmechanismen.
Angreifer kommen gänzlich unbemerkt auf den Rechner
Durch das hin- und her manövrieren wurden alle Schutzvorkehrungen umgangen und es ist den Cyberkriminellen möglich, gänzlich unbemerkt Malware über WLS in das System einzuschmuggeln. Dieser hat freien Zugang zum Microsoft-Kernel und wurde beim Eindringen noch nicht einmal sichtbar für Sicherheitsprogramme.
Fazit: Moderne Technologie ändert die Spielregeln der IT-Sicherheit und Unternehmen sollten kein unnötiges Risiko eingehen. Cyberkriminelle lernen schnell und finden immer neue Wege, um Sicherheitsmechanismen auszuhebeln. Bashware ist nur ein Beispiel, dass zeigt, das Organisationen alleine keine Chance gegen die Angreifer haben. Organisaitonen sollen durch mehrschichtige Sicherheitsvorkehrungen und externes Know-How sich daher auf solche Schwachpunkte vorbereiten – diese lauern überall und gehören mittlerweile zum Alltag.