USB-Sicherheit 2015: Ein 0-Day-Exploit für Windows - auf USB-Sticks
Die letzte Schwachstelle, die ich im Rahmen dieser kleinen Serie zu Schwachstellen in und Angriffen auf bzw. über USB vorstellen möchte, habe ich bereits hier im Blog behandelt. Es geht um die "Mount Manager Elevation of Privilege Vulnerability", die Microsoft am August-Patchday 2015 vorgestellt hat.
Ein 0-Day-Exploit auf USB-Sticks
Die Schwachstelle mit der CVE-ID CVE-2015-1769 wird im Security Bulletin MS15-085 behandelt. Es handelt sich um eine Privilegieneskalation im Mount Manager, der symbolische Links nicht korrekt verarbeitet.
Microsoft schrieb dazu im Security Bulletin:
"An elevation of privilege vulnerability exists when the Mount Manager component improperly processes symbolic links. An attacker who successfully exploited this vulnerability could write a malicious binary to disk and execute it.Ich schrieb damals schon, dass ich das nicht nur für eine Privilegieneskalation hielt:
To exploit the vulnerability, an attacker would have insert a malicious USB device into a target system. The security update addresses this vulnerability by removing the vulnerable code from the component.
Microsoft received information about this vulnerability through coordinated vulnerability disclosure. When this security bulletin was issued, Microsoft has reason to believe that this vulnerability has been used in targeted attacks against customers."
"Also ich würde das aufgrund der bisher vorliegenden (mageren) Informationen nicht unbedingt nur als Privilegieneskalation einstufen. Denn von einer Benutzeraktion außer dem Einstecken des USB-Devices steht da nichts. Ein Angreifer mit Zugriff auf ein Gerät kann dann wohl auch Code einschleusen, ohne angemeldet zu sein. Zum Beispiel bei einen Evil-Maid-Angriff oder einfach mal so im Vorbeigehen im Büro. Oder auch über einen Social-Engineering-Angriff, zum Beispiel durch einen als Werbung zugeschickten oder zufällig "verlorenen" USB-Stick."
Und tatsächlich wurde kurz darauf bestätigt, dass sich über die Schwachstelle ohne Zutun des Benutzers Code einschleusen lässt. Es reicht tatsächlich, dass ein präparierter USB-Stick angeschlossen wird. Vergleiche mit Stuxnet sind daher durchaus angebracht, auch der verbreitete sich über infizierte USB-Geräte, über eine 0-Day-Schwachstelle bei der Verarbeitung von LNK-Dateien.
Was soll der kalte Kaffee?
Kommen wir zum Grund, warum ich diesen kalten Kaffee vom letzten Jahr hier noch mal aufwärme. Das hat sogar zwei Gründe:
Erstens: Ein 0-Day-Exploit für Windows 10
Die Schwachstelle betraf auch Windows 10. In Microsofts neuestem Betriebssystem gab es also eine Schwachstelle, die mit der von Stuxnet ausgenutzten "Shortcut-Lücke" vergleichbar ist. 5 Jahre, nachdem Stuxnet entdeckt und die damalige 0-Day-Schwachstelle behoben wurde. Jedenfalls halbwegs, denn im März 2015 musste Microsoft den Patch für die"Shortcut-Lücke" nachbessern, da darüber immer noch Angriffe möglich waren.
Man sollte annehmen, dass Microsoft sich schon 2010 alles rund um die Schwachstelle sehr genau angesehen hat. Trotzdem musste der ursprüngliche Patch 5 Jahre später nachgebessert werden, und wenige Monate darauf wurde eine ähnliche Schwachstelle behoben. Das ist zumindest bemerkenswert, wenn nicht sogar beängstigend.
Immerhin wurde ja auch im März 2016 eine Schwachstelle im USB-Code behoben, im "USB Mass Storage Class" Treiber. Das ist zwar eine andere "Baustelle" als der 2015 betroffene Mount Manager, aber immerhin werden beide Schwachstellen über USB-Sticks ausgenutzt. Zum Glück gab es für die Schwachstelle im Treiber keinen 0-Day-Exploit.
Aber halten wir einfach mal fest: Es werden immer wieder über USB ausnutzbare Schwachstellen entdeckt.
Zweiten: Es gibt Angriffe über USB-Sticks "in the wild"
Womit wir zum zweiten Grund kommen: Es gab im Sommer 2015 Angriffe mit einem 0-Day-Exploit, und das über präparierte USB-Sticks. Wer damals wen angegriffen hat ist eben so wenig bekannt wie der Angriffsweg. Ob da nun präparierte USB-Sticks "verloren" wurden (was ja durchaus erfolgsversprechend ist) oder ob der Angreifer die USB-Sticks persönlich in die USB-Ports der angegriffenen Rechner gesteckt hat ist aber eigentlich egal, es reicht die Feststellung, dass es Angriffe mit einem 0-Day-Exploit über USB-Sticks gab. Es hat sich also jemand die Mühe gemacht, eine über USB ausnutzbare 0-Day-Schwachstelle zu finden und dafür einen Exploit zu entwickeln. Das macht man nur, wenn man wirklich einen Angriff über USB plant. Sehr wahrscheinlich, weil ein Angriffs übers Netz nicht möglich ist. Was zeigt: Man muss immer mit solchen Angriffen rechnen.
Vorsicht beim Anschluss von USB-Geräten!
Was zum Schluss führt, dass man sehr genau aufpassen muss, was man über USB an seinen Rechner anschließt. Jedes fremde USB-Gerät kann einen Angriff darstellen, und eigentlich auch jedes eigene bzw. bekannte. Denn auch das könnte ja mit einem sich über USB verbreitenden Schädling infiziert sein. Virenscanner können einen Teil der Angriffe abwehren, zumindest bei einem 0-Day-Exploit stoßen sie aber schnell an ihre Grenzen. Und gegen 0-Day-Exploits hilft auch das altbekannte "System und Programme aktuell halten" nichts, denn die nutzen ja gerade noch nicht bekannte und daher auch noch nicht behobene Schwachstellen aus. Da hilft nur: Vorsichtig sein.
Aus aktuellem Anlass gibt es nächste Woche eine Aktualisierung für einen anderen USB-Text.
Trackbacks