computerwoche.de

Security

Hacker missbrauchen Windows-Updates-Downloader

11.05.2007
Symantec-Experten zufolge wird die File-Transfer-Komponente von Windows Update missbraucht, um Schadcode-Downloads an Firewalls vorbei zu schmuggeln.

Microsoft-Betriebssysteme nutzen den "Background Intelligent Transfer Service" (BITS), um Patches via Windows Update auszuliefern. Bei BITS, der sein Debüt mit Windows XP gab und Bestandteil von Windows Server 2003 sowie Windows Vista ist, handelt es sich um einen asynchronen File-Transfer-Service mit automatischer Drosselung. Diese verhindert, dass Downloads andere Netzaufgaben beeinträchtigen. Bricht die Verbindung ab, nimmt BITS seinen Dienst automatisch wieder auf.

Angesichts seiner HTTP-Unterstützung sowie der Tatsache, dass es über das "COM"-API programmiert werden könne, sei BITS das perfekte Tool, um Windows dazu zu bringen, alles Erdenkliche herunter zu laden, schreibt Elia Florio, Forscher im Symantec Security Response Team im Blog der Gruppe. "Unglücklicherweise schließt das bösartige Dateien ein".

Für Florio ist leicht nachzuvollziehen, warum einige Trojaner-Autoren BITS nutzen, um Add-on-Code auf einen infizierten Computer nachzuladen: "Ganz einfach: Als Teil des Betriebssystems ist BITS vertrauenswürdig und kommt beim Herunterladen von Dateien an der Firewall vorbei." Malware und speziell Trojaner, die üblicherweise im Opfersystem erst eine Hintertür für Folge-Code öffnen, müssen jedoch an der Firewall vorbei, um zusätzliche Schadprogramme wie etwa einen Keylogger auf den PC zu schleusen.

Das Umgehen der Firewall sei an sich kein neuer Ansatz, so Oliver Friedrichs, Director der Forschungsgruppe. Neuartig sei aber, dass Angreifer eine Komponente des Betriebssystems selbst für das Nachladen ihrer Schadinhalte nutzten.

Erste Diskussionen rund um BITS bemerkte Symantec Ende vergangenen Jahres auf russischen Hacker-Message-Boards. Seither habe man die Entwicklung im Auge behalten, berichtet Friedrichs. Mit einem im März via Spam verbreiteten Trojaner sei die neue Methode erstmals in die Praxis umgesetzt worden.

Neben der Möglichkeit, an der Firewall vorbeizukommen, profitieren Schadcode-Entwickler vor allem von der hohen Zuverlässigkeit des Download-Mechanimus von BITS. Zudem bleibt den Übeltätern damit das Schreiben ihres eigenen Download-Codes erspart.

Obwohl die von Microsofts Windows Update Service gelieferten Downloads über BITS laufen, gibt es laut Symantec keinerlei Hinweise darauf, dass der Dienst selbst gefährdet wäre. "Gäbe es dort eine Schwachstelle, hätte sie jemand bereits entdeckt", versichert Friedrichs.

Nach Ansicht von Florio lässt sich der Missbrauch von BITS durch Hacker praktisch nicht verhindern. Es sei nicht leicht zu überwachen, was die Komponente herunterladen soll und was nicht. "Vielleicht sollte das BITS-Interface nur mit höheren Zugriffsrechten zugängig sein, oder die von BITS erzeugten Download-Jobs sollten auf vertrauenswürdige URLs beschränkt sein", schlägt der Experte vor. (kf)