Nach wie vor unter Beschuss: Automatische Software-Updates


Über zwei Jahre ist es her, dass  argentinische Sicherheitsexperten
demonstrierten wie leicht sich den Update-Mechanismen von Programmen wie
iTunes, Skype oder Java Malware unterschieben lässt. Jetzt legen die
White-Hat-Hacker nach und zeigen: Es hat sich kaum etwas geändert.

 

Erstmals zeigten die Experten der argentinischen Firma
Infobyte im
Frühjahr 2008, wie sie mit Hilfe des selbst programmierten Frameworks namens
Evilgrade Anwendungen wie dem Adobe Reader, Suns JRE, Apples iTunes, Winzip,
Winamp oder dem Browser-Plugin der Internetseite Linkedin bösartige Updates
unterschoben. Die von der jeweiligen Applikation heruntergeladene Datei
enthielt kein Update, sondern ein Trojanisches Pferd, das den Angreifern binnen
Sekunden vollen Zugriff über den angegriffenen Rechner verschaffte.

 

Jetzt haben die Argentinier nachgelegt und das Framework
überarbeitet
.
Ergebnis: Mehr als 60 legitime Anwendungen stehen jetzt im Visier des Tools,
darunter weit verbreitete Applikationen wie Skype, die Browser Safari und
Opera, und nach wie vor Apples iTunes und Quicktime. Auch die weit verbreitete
Virtualisierungssoftware Virtualbox ist prinzipiell verwundbar. Nicht mehr
länger per Evilgrade angreifbar ist der Adobe Reader. Die vollständige Liste
der angreifbaren Applikationen listen die Evilgrade-Macher in einer Textdatei.
In einem Video zeigen die Sicherheitsexperten Evilgrade in Aktion: Der JRE (Java Runtime
Environment) wird ein bösartiges Update untergeschoben.

 

Die Attacke funktioniert prinzipiell auf allen Plattformen
wie Windows, Mac OS X oder Linux, auf denen die angreifbare Anwendung läuft.
Die Attacke basiert darauf, dass die verwundbare Anwendungen Updates ohne
weitere Prüfung vom von Evilgrade simulierten Update-Server herunterladen und
installieren. Der Angreifer hat die Möglichkeit, die Beschreibung und den
Dateinamen des vermeintlichen Upgrades frei zu wählen.

 

Voraussetzung für den Evilgrade-Angriff ist eine
vorausgehende Attacke auf die DNS-Einstellungen des Opfers, damit die Anwendung
bei ihrer Suche nach dem Update-Server zum böswilligen Rechner umgeleitet wird.
In einem Intranet ist das sehr leicht per Man-in-the-Middle-Angriff zu
bewerkstelligen. Soll der Angriff über das Internet stattfinden, ist mehr
Aufwand nötig. Laut den Infobyte-Experten stehen mit Techniken wie
DNS-Cache-Poisoning aber wirksame Verfahren bereit.

 

Schutz vor einer solchen Attacke böten beispielsweise per
HTTPS ausgeführte Dateitransfers. Hier müsste Evilgrade das passende
SSL-Zertifikat präsentieren, andernfalls würde der Upgrade-Vorgang mit einem
Zertifikatsfehler unterbrochen. Evilgrade kann diese Fehler nicht verhindern.
Auch vom Hersteller der Originalsoftware signierte Updates –wie sie
beispielsweise ausnahmslos per Windows Update verteilt werden – bremsen den
Angreifer aus, da unsignierte Installationsprogramme ebenfalls eine Warnmeldung
ausgeben.

 

Die neue Version von Evilgrade macht klar:
Softwarehersteller sollten noch mehr Sorgfalt auf das Absichern ihrer
Update-Mechanismen verwenden. Prinzipiell sind diese Mechanismen überaus
löblich, da sie es einem Endkunden abnehmen, ständig nach Updates zu suchen.
Andererseits bringen sie die Nutzer und ihre PCs unnötig in Gefahr. Entwickler
von Software beziehungsweise der Updater sollten im Rahmen ihres
Entwicklungsprozesses eine Risikoeinschätzung auf Basis eines Threat Models
erstellen. Threat Modelling ist bei Microsoft schon seit Jahren fester
Bestandteil aller Entwicklungen und unerlässlich für den Secure Development
Lifecycle (SDL). Mehr zum SDL, Threat Modelling – inklusive einem Link zum
Download eines Gratis-Tools zum Erstellen von Threat Models – halten unsere
US-Kollegen bereit
.

 

Solange die Upgrade-Wege nicht verlässlich und sicher sind,
sollten PC-Anwender nur dann ein Update zulassen, wenn sie in einer sicheren
Netzwerkumgebung sind. Öffentliche WLAN-Hotspots oder auch verdrahtete
Hotelnetzwerke gehören nicht zu diesen Umgebungen.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht
Michael alles Wissenswerte rund um Schwachstellen in
Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (0)