Skip to content

Drucksache: Windows Developer 12.16 - Windows Management Instrumentation (WMI) in Angreiferhand

Im windows.developer 12.16 ist ein Artikel über Angriffe auf die Windows Management Instrumentation (WMI) erschienen.

Die WMI hilft Administratoren sowohl bei der lokalen Administration als auch bei der Fernwartung ihrer Windows-Rechner. Angreifer können die gleichen Funktionen für Angriffe missbrauchen, und das wird von den Cyberkriminellen und Cyberkriegern auch schon getan. Man kann sich selbst vor solchen Angriffen schützen, wobei die sicherste Lösung, WMI ausschalten, auch zugleich die schlechteste ist, denn WMI wird von Windows zu oft benötigt.

Aber immerhin kann man WMI auch nutzen, um WMI zu überwachen und Angriffe zu erkennen. Dass der Angreifer diesen Schutz über WMI auch wieder aushebeln kann, wenn er Administrator-Rechte erlangt, kommt dabei nicht unerwartet. Ein Angreifer, der Administrator- Rechte hat, hat die vollständige Kontrolle über den Rechner und kann auch die meisten anderen Schutzmaßnahmen aushebeln oder einfach ausschalten.

Wenig bis keinen Schutz bieten bisher die kommerziellen Sicherheitslösungen, da sie WMI noch weitgehend ignorieren. Da gibt es für die Hersteller noch einiges zu tun.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

Trackbacks

Keine Trackbacks