Meldung

Security-Software außer Gefecht gesetzt

Sicherheitsforscher der Varonis Threat Labs haben zwei Windows-Sicherheitslücken aufgedeckt, die große Blind Spots für Sicherheits-Software erzeugen und Rechner mittels DoS-Angriffe außer Betrieb setzen können. LogCrusher und OverLog nutzen dabei das Internet Explorer-spezifische Ereignisprotokoll MS-EVEN, das auf allen aktuellen Windows-Betriebssystemen vorhanden ist, unabhängig davon, ob der Browser genutzt wurde oder wird.
Während OverLog mittlerweile gefixt ist, hat Microsoft für LogCrusher kürzlich nur einen partiellen Patch herausgegeben: Cyberkriminelle können deshalb laut Varonis [1] immer noch Angriffe durchführen, wenn sie sich einen Administrator-Zugang zum Netzwerk des Opfers verschaffen.

Die Exploits LogCrusher und OverLog nutzen Funktionen des Microsoft Event Log Remoting Protocol (MS-EVEN), das eine Remote-Manipulation der Ereignisprotokolle eines Computers ermöglicht: OpenEventLogW ist eine Windows-API-Funktion, mit der ein Benutzer ein Handle für ein bestimmtes Ereignisprotokoll auf einem lokalen oder entfernten Rechner öffnen kann. Diese Funktion ist nützlich für Dienste, die damit Ereignisprotokolle für entfernte Rechner lesen, schreiben und löschen können, ohne dass eine manuelle Verbindung zu den Rechnern selbst erforderlich ist.

Standardmäßig können Benutzer mit geringen Rechten, die keine Administratoren sind, keinen Zugriff auf die Ereignisprotokolle anderer Computer erhalten. Die einzige Ausnahme ist das alte Internet Explorer-Protokoll, das in jeder Windows-Version vorhanden ist und einen eigenen Sicherheitsdeskriptor hat, der die Standardberechtigungen außer Kraft setzt. Diese ACL erlaubt es jedem Benutzer, Protokolle zu lesen und zu schreiben. Ein Angreifer kann so von einem beliebigen Domänenbenutzer ein Protokoll-Handle für jeden Windows-Rechner in der Domäne erhalten. Dies bildet die Grundlage für die beiden Exploits.

LogCrusher
LogCrusher versetzt jeden Domänenbenutzer in die Lage, die Ereignisprotokollanwendung eines beliebigen Windows-Rechners in der Domäne aus der Ferne zum Absturz zu bringen. Hierzu muss die Funktion OpenEventLog für das IE-Ereignisprotokoll auf dem Opfercomputer aufgerufen werden: Handle = OpenEventLog(, internet explorer). Daraufhin wird die die Funktion ElfClearELFW mit dem zurückgegebenen Handle und NULL als Parameter BackupFileName ausgeführt: ElfClearELFW(Handle, NULL).

Auf diese einfache Weise wird das Ereignisprotokoll auf dem Rechner des Opfers zum Absturz gebracht. Standardmäßig wird der Ereignisprotokolldienst noch zwei weitere Male versuchen, sich neu zu starten. Beim dritten Mal bleibt er für 24 Stunden gesperrt. Die Folge: Viele Sicherheitskontrollen hängen vom normalen Betrieb des Ereignisprotokolldienstes ab und sind entsprechend ohne Protokolle blind. Einige Sicherheitslösungen sind zudem direkt mit dem Dienst verbunden. Bei seinem Ausfall stürzt auch die Sicherheitssoftware ab und kann folglich keine Warnungen mehr auslösen. Dies ermöglicht es Cyberkriminellen, auch Angriffe durchzuführen, die normalerweise entdeckt werden würden.

Der Exploit nutzt dabei einen Bug in der ElfClearELFW-Funktion, der bereits vor zwei Jahren von dem Sicherheitsforscher „limbenjamin“ an Microsoft gemeldet wurde. Allerdings war es damals nicht möglich, die Schwachstelle von einem normalen, nichtadministrativen Benutzerkonto (und Internet Explorer) auszunutzen, so dass die Auswirkungen unklar waren und Microsoft sich entschied, die Lücke nicht zu patchen.

OverLog

Mittels OverLog sind Denial-of-Service (DoS)-Angriffe durchführbar, indem der Festplattenspeicher eines beliebigen Windows-Rechners in der Domäne vollgeschrieben wird. Der Angriff läuft dabei folgendermaßen ab: Die Angreifer verschaffen sich (wie bei LogCrusher) einen Zugriff auf das Internet Explorer-Ereignisprotokoll auf dem Opfercomputer, schreiben dann einige beliebige Protokolle in das Ereignisprotokoll (zufällige Zeichenketten mit unterschiedlichen Längen) und speichern es dann auf einem Rechner, auf den jeder Domänenbenutzer standardmäßig Schreibrechte hat. Dieser Vorgang wird so lange wiederholt, bis die Festplatte voll ist und der Computer den Betrieb einstellt. Das Opfer ist dabei nicht in der Lage, in die Auslagerungsdatei (virtueller Speicher) zu schreiben, wodurch das System funktionsunfähig wird.

Reaktion und Empfehlungen von Microsoft

Microsoft hat sich dafür entschieden, im Gegensatz zur vollständig beseitigten OverLog-Lücke die LogCrusher-Schwachstelle unter Windows 10 nicht vollständig zu beheben (neuere Betriebssysteme sind davon nicht betroffen). Mit dem Microsoft Patch Tuesday-Update vom 11. Oktober 2022 wurde die Standardberechtigungseinstellung, die nichtadministrativen Benutzern den Zugriff auf das Internet Explorer-Ereignisprotokoll auf Remote-Rechnern ermöglichte, auf lokale Administratoren beschränkt, wodurch das Schadenspotenzial erheblich reduziert wurde.

Gelingt es Cyberkriminellen jedoch, sich einen Administrator-Zugang zum Netzwerk des Opfers zu verschaffen, sind LogCrusher-Angriffe weiterhin möglich. Darüber hinaus besteht weiterhin die Möglichkeit, dass andere Ereignisprotokolle von Anwendungen, auf die User zugreifen können, in ähnlicher Weise für Angriffe missbraucht werden. Deshalb sollten alle Windows-Anwender den von Microsoft bereitgestellten Patch installieren und alle verdächtigen Aktivitäten überwachen.
25.10.2022

Tipps & Tools

Download der Woche: Picocrypt [7.12.2022]

Für einen effektiven Schutz Ihrer Dateien müssen Sie nicht unbedingt mit aufwendigen und komplizierten Verschlüsselungswerkzeugen arbeiten. Mithilfe des Algorithmus "ChaCha20-Poly1305" bietet beispielsweise "Picocrypt" eine ausreichend sichere Verschlüsselung samt praktischer Optionen, ist einfacher zu bedienen als vergleichsbare Tools und noch dazu kostenfrei. [mehr]

Passwörter evakuieren [2.12.2022]

Wenn ein Windows-Update scheitert oder gar das ganze System abraucht, häufen sich schnell die Probleme – unter anderem sind sowohl die Passwörter der verschiedenen Anwendungen als auch die im System selbst abgelegten in Gefahr. Allerdings hiflt Ihnen das freie Tool "ExtPassword" dabei, hier Abhilfe zu schaffen. [mehr]

Fachartikel

Emotet – Ein zerstörerisches Comeback [7.12.2022]

Im Jahr 2014 tauchte Emotet zum ersten Mal auf – zunächst als bescheidener Banking-Trojaner. Doch die Cyberkriminellen hinter der Malware dachten weiter: Sie boten als eine der ersten Gruppen Malware-as-a-Service an und nutzen es erfolgreich, um ein massives Botnetz infizierter Systeme aufzubauen und den Zugang an Dritte zu verkaufen. Nach langer Ruheperiode gab es Ende 2021 ein Comeback – und zwar ein rasantes: Bis April 2022 stiegen die Emotet-Fälle um ganze 2700 Prozent. Unser Fachartikel trägt einige Erkenntnisse zu den neuen Methoden und Gefahren von Emotet zusammen. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen