Über zwei Jahre ist es her, dass  argentinische Sicherheitsexperten demonstrierten wie leicht sich den Update-Mechanismen von Programmen wie iTunes, Skype oder Java Malware unterschieben lässt. Jetzt legen die White-Hat-Hacker nach und zeigen: Es hat sich kaum etwas geändert.

 

Erstmals zeigten die Experten der argentinischen Firma Infobyte im Frühjahr 2008, wie sie mit Hilfe des selbst programmierten Frameworks namens Evilgrade Anwendungen wie dem Adobe Reader, Suns JRE, Apples iTunes, Winzip, Winamp oder dem Browser-Plugin der Internetseite Linkedin bösartige Updates unterschoben. Die von der jeweiligen Applikation heruntergeladene Datei enthielt kein Update, sondern ein Trojanisches Pferd, das den Angreifern binnen Sekunden vollen Zugriff über den angegriffenen Rechner verschaffte.

 

Jetzt haben die Argentinier nachgelegt und das Framework überarbeitet. Ergebnis: Mehr als 60 legitime Anwendungen stehen jetzt im Visier des Tools, darunter weit verbreitete Applikationen wie Skype, die Browser Safari und Opera, und nach wie vor Apples iTunes und Quicktime. Auch die weit verbreitete Virtualisierungssoftware Virtualbox ist prinzipiell verwundbar. Nicht mehr länger per Evilgrade angreifbar ist der Adobe Reader. Die vollständige Liste der angreifbaren Applikationen listen die Evilgrade-Macher in einer Textdatei. In einem Video zeigen die Sicherheitsexperten Evilgrade in Aktion: Der JRE (Java Runtime Environment) wird ein bösartiges Update untergeschoben.

 

Die Attacke funktioniert prinzipiell auf allen Plattformen wie Windows, Mac OS X oder Linux, auf denen die angreifbare Anwendung läuft. Die Attacke basiert darauf, dass die verwundbare Anwendungen Updates ohne weitere Prüfung vom von Evilgrade simulierten Update-Server herunterladen und installieren. Der Angreifer hat die Möglichkeit, die Beschreibung und den Dateinamen des vermeintlichen Upgrades frei zu wählen.

 

Voraussetzung für den Evilgrade-Angriff ist eine vorausgehende Attacke auf die DNS-Einstellungen des Opfers, damit die Anwendung bei ihrer Suche nach dem Update-Server zum böswilligen Rechner umgeleitet wird. In einem Intranet ist das sehr leicht per Man-in-the-Middle-Angriff zu bewerkstelligen. Soll der Angriff über das Internet stattfinden, ist mehr Aufwand nötig. Laut den Infobyte-Experten stehen mit Techniken wie DNS-Cache-Poisoning aber wirksame Verfahren bereit.

 

Schutz vor einer solchen Attacke böten beispielsweise per HTTPS ausgeführte Dateitransfers. Hier müsste Evilgrade das passende SSL-Zertifikat präsentieren, andernfalls würde der Upgrade-Vorgang mit einem Zertifikatsfehler unterbrochen. Evilgrade kann diese Fehler nicht verhindern. Auch vom Hersteller der Originalsoftware signierte Updates –wie sie beispielsweise ausnahmslos per Windows Update verteilt werden – bremsen den Angreifer aus, da unsignierte Installationsprogramme ebenfalls eine Warnmeldung ausgeben.

 

Die neue Version von Evilgrade macht klar: Softwarehersteller sollten noch mehr Sorgfalt auf das Absichern ihrer Update-Mechanismen verwenden. Prinzipiell sind diese Mechanismen überaus löblich, da sie es einem Endkunden abnehmen, ständig nach Updates zu suchen. Andererseits bringen sie die Nutzer und ihre PCs unnötig in Gefahr. Entwickler von Software beziehungsweise der Updater sollten im Rahmen ihres Entwicklungsprozesses eine Risikoeinschätzung auf Basis eines Threat Models erstellen. Threat Modelling ist bei Microsoft schon seit Jahren fester Bestandteil aller Entwicklungen und unerlässlich für den Secure Development Lifecycle (SDL). Mehr zum SDL, Threat Modelling – inklusive einem Link zum Download eines Gratis-Tools zum Erstellen von Threat Models – halten unsere US-Kollegen bereit.

 

Solange die Upgrade-Wege nicht verlässlich und sicher sind, sollten PC-Anwender nur dann ein Update zulassen, wenn sie in einer sicheren Netzwerkumgebung sind. Öffentliche WLAN-Hotspots oder auch verdrahtete Hotelnetzwerke gehören nicht zu diesen Umgebungen.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.