Malware nutzt diesen Windows-Fehler seit sechs Jahren aus – was du jetzt wissen musst
Die Sicherheitsforscher:innen von Elastic Security Labs haben eine Sicherheitslücke in Windows entdeckt. Diese steckt in den Programmen Smart App Control und Smartscreen. Das Sicherheits-Feature Smartscreen wurde erstmals bei Windows 8 eingesetzt. Später wurde es mit Windows 11 von Smart App Control abgelöst. Beide Programme sollen eigentlich Nutzer:innen vor unbekannten Dateien aus dem Netz beschützen.
Wie werden die Windows-Sicherheitsmaßnahmen ausgehebelt?
Um Windows-Nutzer:innen zu schützen, analysiert Smartscreen Dateien aus dem Netz, bevor diese ausgeführt werden. Dabei sucht das Programm nach einem „Mark of the Web“ (MotW). Dieses wird der Datei bereits beim Download hinzugefügt, wenn es für Windows Grund zur Annahme gibt, dass sie unsicher sein könnte. Erkennt Smartscreen das MotW, wird die Datei mit einer Liste von schädlichen Programmen im Netz abgeglichen. Gibt es Übereinstimmungen, kommt es zur Warnung. User:innen können diese zwar ignorieren, doch so verhindert Microsoft immerhin das unabsichtliche Ausführen von Schadsoftware.
Smart App Control funktioniert ähnlich. Allerdings ist das Programm an den Sicherheitsdiens der Cloud von Microsoft geknüpft und vergleicht die Datei mit einer Liste von erlaubten Apps und gültigen Signaturen im Netz. Findet Smart App Control keine dieser Hinweise, dass es sich um eine vertrauenswürdige Datei handelt, wird ebenfalls eine Sicherheitswarnung ausgespielt.
Diese können Angreifer:innen aber einfach umgehen, wie die Ergebnisse von Elastic Security Labs zeigen. Die Technik nennen die Expert:innen „LNK Stomping“. LNK sind die Verknüpfungen zu .exe-Dateien. Um diese zu „stompen“, also einzustampfen, hinterlassen die Angreifer:innen absichtlich Fehler im Dateipfad der Verknüpfung.
Sobald die Verknüpfung angeklickt wird, versucht Windows, diese zu reparieren. Oftmals reicht ein Leerzeichen oder ein Punkt in der Verknüpfung aus. So kann Windows etwa recht einfach „powershell.exe.“ reparieren und zur eigentlichen Datei finden. Allerdings wird dabei auch der Scan von Smart App Control und Smartscreen außer Kraft gesetzt. Es erfolgt keine Sicherheitswarnung an User:innen, selbst wenn die Datei hinter der Verknüpfung unseriös ist.
Über den Vergleich mit Uploads bei Virustotal konnten die Expert:innen schnell feststellen, dass der Bug bereits vor sechs Jahren aktiv ausgenutzt wurde. Wie oft das in der Zwischenzeit passiert ist, lässt sich nur schwer einschätzen. Der Fehler wurde mittlerweile an Microsoft gemeldet und wird möglicherweise in einem kommenden Update behoben.
Weitere Aushebelmethoden in Windows
Die Sicherheitsexpert:innen von Elastic Security Labs haben aber auch weitere Methoden an Microsoft gemeldet, über die Smartscreen und Smart App Control überlistet werden können. Allerdings lässt sich bei diesen Methoden nicht genau feststellen, ob sie bereits aktiv genutzt werden und wie lange das im Zweifel der Fall ist. Drei Methoden drehen sich um die Vertrauenswürdigkeit der jeweiligen Dateien.
Dabei spielen die schädlichen Programme den Sicherheitsmaßnahmen von Windows vor, dass sie Dateien wären, denen das System vertrauen kann. Sei es, indem sich die Programme an bestehende Apps anheften, ihren Code zwischen vertrauenswürdigem Code verstecken oder die Code-Zeilen manipulieren, um ein anderes Programm nachzuahmen.
Elastic Security Labs weist aber auch auf „Signed Malware“ hin, die Smartscreen und Smart App Control aushebeln kann. Hacker:innen können offizielle Zertifikate – beispielsweise von Unternehmen – nachahmen oder stehlen und diese auf Schadsoftware anwenden. Schon werden sie von den Sicherheitsmaßnahmen durchgewunken.