Windows-Hilfe als Einfallstor für Angreifer

[Dynamite]

Ein Fehler in Microsofts Hilfe- und Supportcenter lässt sich ausnutzen, um aus der Ferne einen Windows-PC zu kompromittieren. Dazu genügt der Aufruf einer manipulierten Webseite mit dem Internet Explorer. Ursache des Problems ist die fehlerhafte Implementierung der Whitelist-Funktion, mit der das Supportcenter prüft, ob ein Hilfedokument aus einer erlaubten, vertrauenswürdigen Quelle stammt. Doch das Supportcenter kann nicht nur Hilfedokumente aus dem Netz nachladen (über den URL-Handler hcp://), es kann auch lokale Anwendungen starten, beispielsweise die Remote-Unterstützung und dergleichen.

Laut Tavis Ormandy steckt aber in der Umwandlung von Escape-Sequenzen in eine vollständige URL (URL-Normalisierung) ein Fehler, mit der sich die Whitelist austricksen und eine manipulierte URL übergeben lässt. Damit ist es möglich, Programme auf dem PC auszuführen. Ein Angreifer könnte etwa den FTP-Client starten, um einen Trojaner aus dem Netz zu laden und und ihn anschließend zu starten.

Ganz so simpel funktioniert der Angriff aber nicht. Ormandy nutzt noch weitere Schwachstellen und Tricks, um mit seiner bereit gestellten Demo einen Taschenrechner ohne Interaktion des Anwenders zu starten. Unter anderem erscheint nämlich beim Aufruf einer hcp://-URL mit dem Internet Explorer ein Warnhinweis ("Möchten Sie dieser Webseite das Öffnen eines Programmes auf dem Computer gestatten"), den der Anwender bestätigen muss.

Diese Klippe umschifft Ormandy, indem er die URL nicht direkt im Browser öffnet, sondern über ein ActiveX-Plug-in des Windows Media Player aufruft – und dort kommt die Warnung nicht. Zusätzlich nutzt Ormandy noch eine Cross-Site-Scripting-Schwachstelle in der Datei sysinfomain.htm, um seine Befehle an das Hilfecenter zu übergeben. Alles zusammen ergibt sich ein ausgefeilter Exploit, der im Test der heise-Security-Redaktion auf einem vollständig gepatchten Windows-XP-SP3-System mit dem Internet Explorer 8 und Windows Media Player den Taschenrechner öffnete. Betroffen ist laut Ormandy auch Windows Server 2003. Unter Windows 7 funktionierte der Exploit mit dem Internet Explorer 8 nicht.

Ormandy ist sich aber sicher, dass es nur weniger Anpassungen bedarf, um seinen Exploit auch auf anderen System zum Laufen zu bringen und "leiser" zu machen. Zudem seien Browser nur ein möglicher Weg, die Lücke auszunutzen. Microsoft soll seit dem 5. Juni über die Lücke informiert sein. Einen Patch gibt es noch nicht. Ormandy hat die Informationen aber schon jetzt veröffentlicht, weil er der Meinung ist, dass Angreifer die Lücke bereits untersucht haben und es derzeit das Beste sei, die Information schnell herauszugeben.

Als Workaround schlägt Ormandy vor, das Nachladen von Hilfedokumenten im Supportcenter zu deaktivieren. Dafür stellt er einen Hotfix bereit. Im Test von heise Security funktionierte der Exploit nach der Installation des Hotifx unter Windows XP nicht mehr. Allerdings kann es Fälle geben, in denen beispielsweise in Unternehmen die Funktion für Remote-Unterstützung notwendig ist. Ormandy macht in seinem Bericht Vorschläge für Alternativkonfigurationen.

Ormandy, der auch in Googles Sicherheitsteam arbeitet, machte in der Vergangenheit immer wieder mit ausgefeilten Exploits für schwer ausnutzbare Lücken von sich Reden. Zuletzt deckte er die Lücke im Java Deployment Kit und der Windows Virtual DOS Machine auf.

Quelle: Heise.de

[Dynamite]

Kriminelle nutzen Lücke im Windows-Hilfecenter aus

Nach Angaben von Microsoft und dem Antivirenhersteller Sophos nutzen erste Webseiten die vergangene Woche gemeldete Lücke im Hilfe- und Supportcenter von Windows aus, um die Systeme von Besuchern mit Schadcode zu infizieren. Bislang sind jedoch nur Anwender von Windows XP betroffen, da der kursierende Exploit nur dort funktioniert. Zwar ist grundsätzlich auch Windows Server 2003 betroffen, dort läuft der Exploit jedoch (noch) nicht. Windows 7, Vista , 2000 und Server 2008 sind nicht verwundbar.

Microsoft arbeitet noch an einem Patch und empfiehlt bis dahin, mit einem Fix-it-Tool die Lücke temporär zu schließen. Das Tool deregistriert das hcp://Protokoll unter Windows, sodass der Aufruf von Hilfedokumenten nicht mehr funktioniert. Ursache des Problems ist nämlich die fehlerhafte Implementierung der Whitelist-Funktion, mit der das Supportcenter prüft, ob ein Hilfedokument aus einer erlaubten, vertrauenswürdigen Quelle stammt.

Doch das Supportcenter kann nicht nur Hilfedokumente aus dem Netz nachladen (über den URL-Handler hcp://), es kann auch lokale Anwendungen starten, beispielsweise die Remote-Unterstützung und dergleichen. Damit ist es möglich, Programme auf dem PC auszuführen. Mit manipulierten hcp-URLs kann ein Angreifer jedoch beispielsweise den FTP-Client starten, um einen Trojaner aus dem Netz zu laden und ihn anschließend zu starten.

Die Lücke hatte in der vergangenen Woche insbesondere wegen der Umstände der Veröffentlichung für Wirbel gesorgt. Der Entdecker Tavis Ormandy hatte die Infos nebst PoC-Exploit veröffentlicht, ohne Microsoft ausreichend Zeit für eine Reaktion einzuräumen. Zwar hatte er einen eigenen Hotfix zur Verfügung gestellt, der schloss die Lücke jedoch nicht vollständig.

Da Ormandy für Google arbeitet, fragten sich Sicherheitsspezialisten, ob Google zwei unterschiedliche Standards bei Full Disclosure verwende – denn Google selbst ist ein Verfechter der Responsible Disclosure. Allerdings wies Ormandy darauf hin, dass er in diesem Fall auf eigene Rechnung gearbeitet hatte und Google damit nichts zu tun habe.

Quelle: Heise.de