Zero-Day-Lücke in Windows erlaubt Umgehung von Sicherheitswarnungen

Stefan Beiersmann,
Linkedin
Sicherheitslücken (Bild: Shutterstock.com/bofotolux).

Ein manipulierte Signatur schaltet die Mark-of-the-Web-Prüfung ab. Aus unsicheren Quellen stammende Dateien lösen somit keine Sicherheitswarnung aus. Betroffen ist vor allem Windows 10.

Hacker nutzen derzeit eine Zero-Day-Lücke in Windows aus. Sie erlaubt es, aus dem Internet und damit aus einer nicht vertrauenswürdigen Quelle stammende Dateien ohne vorherige Sicherheitswarnung auszuführen. Entdeckt wurde die Schwachstelle vom Sicherheitsexperten Will Dorman von Analygence, wie BleepingComputer berichtet.

Windows soll Nutzer eigentlich mithilfe der Sicherheitsfunktion Mark-of-the-Web (MoTW) vor Dateien schützen, die aus dem Internet heruntergeladen wurden und möglicherweise gefährlich sind. MoTW fügt in einen speziellen alternativen Datenstrom namens Zone.Identifier ein Kennzeichen hinzu. Es führt dazu, dass beim Öffnen der Datei eine Warnmeldung erscheint, die auf die Herkunft hinweist und den Nutzer fragt, ob der die fragliche Datei tatsächlich öffnen möchte.

Dorman fand kürzlich heraus, dass sich MoTW umgehen lässt, wenn eine Datei mit einem speziell gestalteten per base64 kodierten Signaturblock versehen wurden. BleepingComputer konnte den Fehler nach eigenen Angaben mit zwei JavaScript-Dateien reproduzieren, die beide mit dem benötigten Zone.Identifier versehen waren. Die um ein “beschädigte” Signatur ergänzte Datei ließ sich ohne Warnhinweis öffnen – bei der nicht manipulierten Datei ohne jegliche Signatur zeigte Windows die Sicherheitswarnung an.

Auch ausführbare EXE-Dateien betroffen

Dorman stellte zudem fest, dass das Problem nicht unter Windows 8.1 auftritt, jedoch unter Windows 10 Version 1607. Dem Bericht zufolge ist aber auch Windows 11 betroffen, allerdings nur, wenn eine manipulierte Datei aus einem Archiv heraus geöffnet wird. Dorman geht davon aus, dass der eigentliche Fehler in einer neuen SmartScreen-Funktion steckt, die Microsoft mit Windows 10 eingeführt hat. “Durch die Deaktivierung von ‘Anwendungen und Dateien überprüfen’ kehrt Windows zum alten Verhalten zurück, bei dem die MotW-Eingabeaufforderungen nichts mit den Authenticode-Signaturen zu tun haben”, erklärte Dormann gegenüber BleepingComputer.

Weitere Versuche von Dorman ergaben, dass jegliche per Authenticode signierte Dateien benutzt werden können, um MoTW zu umgehen. Auch ausführbare EXE-Dateien seien geeignet. Per Hex-Editor müssten lediglich einige Bytes im Signaturbereich der Datei verändert werden.

Microsoft wurden von Dorman bereits über das Problem informiert. Ihm zufolge konnte der Softwarekonzern das Problem jedoch nicht nachvollziehen. Gegenüber BleepingComputer sagte ein Microsoft-Sprecher, die Fehlermeldung von Dorman werde noch untersucht.