Skip to main content
main-content

05.10.2017 | Schadsoftware | Kolumne | Onlineartikel

Bashware zeigt neue Dimension der Cyberbedrohung

Autor:
Dietmar Schnabel

Über eine Standard-Linux-Schnittstelle im Windows-Betriebssystem können Kriminelle unbemerkt Schadsoftware auf Rechner und in Unternehmensnetzwerke schleusen. IT-Sicherheitsspezialist Dietmar Schnabel von Check Point Software erklärt in seine Kolumne, wie Bashware funktioniert. 

Durch steigende Datenbankeinbrüche, Spyware und Ransomware-Angriffe ist das Sicherheitsverständnis in den IT-Abteilungen von Unternehmen mittlerweile sehr gut ausgebildet. Trotzdem wurde mit Bashware eine Windows-Schwachstelle bekannt, mit der Angreifer beliebige Malware vorbei an Sicherheitsmechanismen auf Endgeräte einspeisen können. Dabei nutzten die Forscher die fehlende Absicherung vom neuen Subsystem for Linux (WSL), um unbemerkt Malware auf ein Betriebssystem zu schleusen. 

Empfehlung der Redaktion

2017 | Buch

IT-Risikomanagement mit System

Praxisorientiertes Management von Informationssicherheits-, IT- und Cyber-Risiken

Das Buch bietet einen praxisbezogenen Leitfaden für das Informationssicherheits-, IT- und Cyber-Risikomanagement im Unternehmen – es ist branchenneutral und nimmt Bezug auf relevante Konzepte und Standards des Risikomanagements und der Governance.


WSL war bis vor kurzem noch in der Beta-Testphase und ermöglicht die Einbindung von Linux-Programmen in Windows 10. Für die User eigentlich eine gute Sache, denn die Interoperabilität bietet viele Vorteile. Allerdings wird auch klar, dass technologischer Fortschritt und die Vernetzung einzelner Systeme immer neuen Sicherheitsbedenken mit sich bringen. 

WSL kann heimlich von Angreifern aktiviert werden

Man muss verstehen, dass im Zeitalter der Digitalisierung durch die umfassende Konnektivität Risiken sich in einzelnen Bereichen immer auf andere Teile auswirken. So muss WLS nicht bewusst installiert sein, sondern kann durch die Angreifer heimlich auf jedem Windows 10-Gerät aktiviert werden. Dabei wird dies jedoch nicht als Teil eines Angriffs erkannt. 

Die Ausnutzung der Schwachstellen haben Forscher vorgezeigt und Microsoft arbeitet bereits an einer Lösung des Problems. Grob zusammengefasst gelangen die Angreifer über vier Schritte in die Position, unter der Hand des eigentlichen Besitzers Schadsoftware auf das System zu spielen.

  • Als erstes überprüft Bashware, ob die WSL- Funktion des Windows-Systems aktiviert ist, indem es die Windows-Treiberpfade absucht. Falls die WSL-Funktion deaktiviert sein sollte, kann ein Hilfsprogramm hochgeladen werden, um WSL zu aktivieren. All dies geschieht im Hintergrund und ohne den Einsatz von Malware.
  • Der nächste Schritt besteht aus der Aktivierung des Entwicklermodus des WLS. Normalerweise müsste der Nutzer diesen manuell einstellen, aber es gelang den Forschern – durch eine einfache Manipulation der Registrierdatenbank û diesen ebenfalls heimlich zu aktivieren. Alle Aktionen bisher bedürfen keinen Schädling und triggern auch keine Alarme.
  • Zwar erlaubt der Developer-Modus umfassende Zugriffsrechte, allerdings reicht dies nicht aus, um Malware vor bestehenden Sicherheitsmechanismen zu verstecken. Trotzdem sind die Angreifer jetzt in der Lage ein komplettes Linuxsystem auf dem Endgerät zu installieren, dessen Fähigkeiten weit über das WLS hinausgehen. Dieser Vorgang ist ungewöhnlich, aber aus Sicht von IT-Sicherheitslösungen immer noch nicht als Teil einer Attacke erkennbar.
  • In dieser Umgebung können die Microsoft-Schädlinge geladen und in Linux-Befehle umgewandelt werden. In der Linux-Umgebung funktioniert Windows-Malware nicht und wird auch nicht als Gefahr sichtbar. Erst durch das WLS kommt der Schadcode aus dem Linuxsystem auf das Windows-Zielsystem – ohne dessen Erkennung durch Sicherheitsmechanismen.

Angreifer kommen gänzlich unbemerkt auf den Rechner 

Durch das hin- und her manövrieren wurden alle Schutzvorkehrungen umgangen und es ist den Cyberkriminellen möglich, gänzlich unbemerkt Malware über WLS in das System einzuschmuggeln. Dieser hat freien Zugang zum Microsoft-Kernel und wurde beim Eindringen noch nicht einmal sichtbar für Sicherheitsprogramme. 

Fazit: Moderne Technologie ändert die Spielregeln der IT-Sicherheit und Unternehmen sollten kein unnötiges Risiko eingehen. Cyberkriminelle lernen schnell und finden immer neue Wege, um Sicherheitsmechanismen auszuhebeln. Bashware ist nur ein Beispiel, dass zeigt, das Organisationen alleine keine Chance gegen die Angreifer haben. Organisaitonen sollen durch mehrschichtige Sicherheitsvorkehrungen und externes Know-How sich daher auf solche Schwachpunkte vorbereiten – diese lauern überall und gehören mittlerweile zum Alltag.

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

Das könnte Sie auch interessieren

06.09.2017 | Risikomanagement | Kolumne | Onlineartikel

Zu viel Business, zu wenig Strategie

20.04.2017 | IT-Sicherheit | Im Fokus | Onlineartikel

Mit Sicherheit zu mehr Performance

Premium Partner

GI LogoNeuer Inhalt

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Whitepaper

- ANZEIGE -

Erforderliche Schutzmaßnahmen für das (vernetzte) Auto

Längst sind moderne Autos kleine Rechnernetzwerke auf Rädern. Was bedeutet dies für die Sicherheit? Dieser Beitrag liefert einen Überblick über Angriffsmethoden und Sicherheitstechnologien für moderne Fahrzeuge. Jetzt gratis downloaden!