zurück zum Artikel

Schwachstellen der neuen SP2-Sicherheitsfunktionen

Jürgen Schmidt

Anwender sollten sich nicht auf die Warnung verlassen, die Windows XP mit Service Pack 2 neuerdings vor dem Öffnen von Dateien anzeigt, wenn diese aus dem Internet stammen.

Autor: Jürgen Schmidt, heise Security [1]
Datum: 13.8.2004
Englische Version: http://www.heise.de/security/artikel/50051 [2]

Mit Service Pack 2 hat Microsoft eine neue Sicherheitsfunktion vorgestellt, die Anwender warnt, bevor sie Dateien ausführen, die aus dem Internet - also einer unsicheren Zone - stammen.

Die Umsetzung dieser Funktion weist zwei Schwachstellen auf: eine im Zusammenhang mit cmd und eine beim Caching im Windows Explorer. Die Windows Kommandozeilen-Shell cmd ignoriert Zonen-Information und startet Programme ohne Warnung. Das könnten Virenautoren ausnutzen, um die neuen Sicherheitsfunktionen zu umgehen und etwa E-Mail-Viren zur Ausführung zu bringen.

Der Windows Explorer aktualisiert zwischengespeicherte Informationen über die Zone einer Datei nicht, wenn diese überschrieben wird. Das kann dazu führen, dass er Dateien ohne Warnung ausführt, die aus dem Internet stammen.

Der Internet Explorer und Outlook Express markieren Dateien, die aus dem Internet heruntergeladen oder aus E-Mails gespeichert werden, mit einem Zone Identifier (ZoneID), der die Sicherheitszone angibt, aus der die Dateien stammen. Diese ZoneIDs entsprechen den bekannten Sicherheitszonen des Internet Explorer. Die ZoneID wird in einem Additional Data Stream (ADS) der Datei gespeichert. ADS sind ein spezielles Feature des Dateisystems NTFS. Die ADS mit den ZoneIDs heissen Zone.Identifier und lassen sich mit Notepad editieren, indem man ":Zone.Identifier" öffnet.

Startet ein Anwender eine Datei aus der Internet-Zone (ZoneID=3), erscheint eine Warnung. Der ADS ist persistent, das heisst, er bleibt auch erhalten, wenn man die Datei verschiebt -- solange sie dabei auf einem NTFS-Laufwerk bleibt. Die in Windows integrierten ZIP-Utilities beachten die ZoneID und extrahieren beispielsweise keine ausführbaren Dateien aus Archiven mit einer ZoneID größer oder gleich 3.

1. Das cmd-Problem

Die Windows-Kommandozeilen-Shell cmd.exe ignoriert die ZoneID von Dateien komplett. Der Befehl

cmd /c evil.exe

startet die Datei ohne eine Warnung -- egal welche ZoneID sie hat. Schlimmer noch: Wird eine ausführbare Datei als evil.gif gespeichert, startet

cmd /c evil.gif

das Programm ohne Warnung, trotz ZoneID=3. Das gilt für beliebige Dateierweiterungen. Dieses Ausführen von Dateien mit beliebiger Erweiterung ist kein neues Feature von Service Pack 2; es funktioniert mit allen Versionen von Windows XP.

Anmerkung: Outlook Express erlaubt es standardmäßig nicht, Dateien mit gefährlichen Erweiterungen wie .exe zu speichern. Ausführbare Dateien mit Endungen wie .gif lassen sich jedoch speichern. Explorer und Outlook Express zeigen die Datei dann als Bild an, beim Öffnen startet der zugeordnete Datei-Handler -- in diesem Fall der Bildbetrachter.

Um dieses Problem auszunutzen, ist ein Angreifer auf die Mithilfe seines Opfers angewiesen -- zumindest solange keine weiteren Fehler in Outlook Express oder Internet Explorer das Ausführen von cmd.exe mit Parametern ermöglichen. Doch die Virenbastler haben mit Viren wie Bagle & Co ihre Fähigkeiten zum "Social Engineering" hinreichend unter Beweis gestellt. Diese Schädlinge brachten Anwender dazu, ein Passwort einzugeben, um einen verschlüsselten Mail-Anhang zu öffnen. Ein Virenbastler könnte das cmd-Problem mit einer Mail wie folgender ausnutzen:

Anhang: Zugang.gif
Hallo,
im Anhang finden Sie die angeforderte Kopie der
Zugangsdaten. Aus Sicherheitsgründen haben wir das Bild
mit einer Transportsicherung versehen, sodass es sich
nicht direkt anzeigen lässt. Um es zu öffen, speichern
Sie den Dateianhang, öffnen unter Start/Ausführen
"cmd", ziehen das Bild mit der Maus auf das neue
Fenster und bestätigen mit der Eingabetaste. cmd wird
das Bild für Sie entpacken.

Folgt der Anwender den Anweisungen, wird das angehängte Programm ohne Warnung ausgeführt. Sie können eine solche Mail mit einem als GIF-Bild getarnten harmlosen Demo-Programm auf dem c't-Emailcheck anfordern.

Auch erfahrenere Anwender könnten auf diesen Trick hereinfallen, da sie nicht damit rechnen, dass ein "Bild" einen Virus transportieren kann, der sich noch dazu so einfach ausführen lässt. Des weiteren umgeht diese Vorgehensweise unter Umständen Antiviren-Software, die nur Dateien mit bekanntermaßen gefährlichen Erweiterungen untersucht beziehungsweise blockiert.

Caching von ZoneIDs durch Windows Explorer

2. Caching von ZoneIDs durch Windows Explorer

Der Windows Explorer speichert die Ergebnisse von ZoneID-Tests. Wird eine Datei überschrieben, aktualisiert der Explorer die Informationen in seinem Cache nicht korrekt. Der Explorer startet dann eine Datei unter Umständen mit den veralteten ZoneID-Einträgen der ehemaligen Datei gleichen Namens.

Folgende Schritte illustrieren das Problem:

  1. Kopieren von Notepad:
    > copy c:\windows\notepad.exe test.exe
    Anmerkung: Das Kopieren kann auch mit dem Explorer erfolgen.
  2. Start von test.exe im Explorer: keine Warnung.
  3. evil.exe ist eine Datei aus einem E-Mail-Attachment mit ZoneID=3.
    Test: mit Editor "evil.exe:Zone.Identifier" öffnen. Dort steht: ZoneID=3
    Start von evil.exe im Explorer: eine Warnung erscheint.
  4. Überschreiben der Notepad-Kopie:
    > copy evil.exe test.exe
    "test.exe:Zone.Identifier" zeigt: ZoneID=3
  5. Start von test.exe in Explorer: keine Warnung!
    Der Explorer startet test.exe trotz ZoneID=3 ohne Warnung. In den Dateieigenschaften zeigt er jedoch den richtigen Sicherheitshinweis.
  6. Gegenprobe: Beenden der Explorer Task, Explorer neu starten und test.exe öffnen: die korrekte Warnung erscheint.

Um dieses Problem auszunutzen, muss ein Angreifer eine existierende Datei ohne ZoneID überschreiben. Derzeit ist uns kein Weg bekannt, dies via E-Mail oder von Web-Seiten aus zu bewerkstelligen.

heise Security hat Microsoft am 12.8. über diese Probleme informiert. Das Microsoft Security Response Center antwortete:

"Wir haben Ihren Bericht untersucht, wie wir das mit allen Berichten tun. In diesem Fall sehen wir jedoch keinen Konflikt mit den Designzielen der neuen Schutzfunktionen. Wir versuchen ständig, unsere Sicherheitsvorkehrungen zu verbessern und diese Diskussion wird sicher zusätzliche Anregungen für zukünftige Verbesserungen geben. Doch betrachten wir dies derzeit nicht als Angelegenheit, für die wir Patches oder Workarounds entwickeln würden."

Eine persönliche Einschätzung dieser Antwort gibt der aktuelle Kommentar auf heise Security: Microsoft und die Vertrauensfrage [3] (ju [4])

URL dieses Artikels:
https://www.heise.de/-270546

Links in diesem Artikel:
[1] http://www.heisec.de
[2] https://www.heise.de/hintergrund/Flaws-in-the-security-features-of-SP2-270548.html
[3] https://www.heise.de/meinung/Microsoft-und-die-Vertrauensfrage-270550.html
[4] mailto:ju@ct.de

Copyright © 2004 Heise Medien