Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.699.191 Produkten

Fabian A. Scherschel 426

Der Erpressungstrojaner-Schutz von Windows 10 hat eine riesige Lücke: Office-Apps

Der Erpressungstrojaner-Schutz von Windows 10 hat eine riesige Lücke: Office-Apps

Windows Defender schützt auf Anfrage des Nutzers beliebige Ordner vor unberechtigten Zugriffen. Leider nur nicht vor Zugriffen, die von Office-Apps kommen.

Bild: Fabian A. Scherschel / heise online

Unter Windows 10 können Anwender bestimmte Ordner so schützen, dass nur bestimmte Apps Zugriff haben. Leider lässt sich dieser Schutz umgehen, indem man die Zugriffe über Office-Programme ausführt. Die dürfen nämlich immer schreiben.

Erpressungstrojaner sind eins der größten Risiken für Windows-Anwender. Da wäre es doch schön, wenn man sich vor den Schädlingen schützen könnte, indem man nur bestimmten Programmen erlaubt, auf die Daten in wichtigen Verzeichnissen schreibend zuzugreifen. Das dachte sich wohl auch Microsoft und baute im Juni 2017 genau diese Art von Zugriffsschutz für Ordner unter dem Namen Controlled Folder Access (CFA) in Windows 10 ein. Leider beging die Firma dabei wohl einen fatalen Fehler: Im Auslieferungszustand dürfen Microsofts Office-Programme automatisch auf alle CFA-Ordner zugreifen.

Anzeige

Auf den ersten Blick macht diese Konfiguration durchaus Sinn: Die Office-Programme werden schließlich von Microsoft ausgeliefert und über die hauseigenen Update-Funktionen auf dem neuesten Stand gehalten. Bessere Voraussetzungen für sichere Software gibt es auf der Windows-Plattform kaum. Leider scheint Microsoft ein bedeutender Denkfehler unterlaufen zu sein: Sehr viele Erpressungstrojaner werden über Phishing-Mails als angehängte Office-Dokumente ausgeliefert – der Goldeneye-Ausbruch ist hierfür ein anschauliches Beispiel. Die Kriminellen könnten also ihre Software so modifizieren, dass ihr Schadcode das Office-Programm zum Zugriff auf die CFA-Ordner missbraucht. Microsofts neue Schutzfunktion wäre somit wirkungslos.

Werksseitig dürfen die Office-Apps von Microsoft auf die geschützten Ordner zugreifen. Das steht aber leider nirgendwo. Sie tauchen in der Liste der erlaubten Programme nicht auf.
Werksseitig dürfen die Office-Apps von Microsoft auf die geschützten Ordner zugreifen. Sie tauchen in der Liste der erlaubten Programme allerdings nicht auf. Der Nutzer bekommt nur einen dezenten Hinweis, dass "von Microsoft als gutartig eingestufte Apps" automatisch zugreifen dürfen. (Bild: heise online / Fabian A. Scherschel)

Entdeckt hat diese Schwachstelle ein Sicherheitsforscher der spanischen Sicherheitsfirma Security by Default. Ihm gelang es, ein Python-Skript, das auf einen CFA-geschützten Ordner zugreifen soll, so umzubauen, dass der Zugriff trotz aktivem CFA gelingt. Er nutzt dabei einfach Microsofts OLE-Schnittstelle, um per Word auf den Ordner zuzugreifen. Zwar blockiert CFA den Zugriff von Python.exe, ein Zugriff dieses Prozesses über OLE und Winword.exe wird aber zugelassen, da die Office-Apps automatisch in der Whitelist der erlaubten Programme stehen.

Controlled Folder Access, auf Deutsch von Microsoft etwas holperig als "kontrollierter Ordnerzugriff" übersetzt, lässt sich unter Windows 10 in den Einstellungen des Windows Defenders aktivieren. Dort sieht man dann auch eine Liste der Programme, die auf die geschützten Ordner zugreifen können. Die Office-Apps sind dort nicht aufgeführt. Es gibt lediglich einen vagen Hinweis, dass "von Microsoft als gutartig eingestufte Apps" immer Zugriff hätten. Das ist deswegen problematisch, da der Anwender nicht weiß, welche Programme Microsoft für harmlos hält.

Die eigenen Office-Programme als harmlos einzustufen, wenn eine große Zahl der Erpressungstrojaner-Infektionen gerade über Social Engineering gepaart mit Office-Programmen verteilt wird, zeugt von einem merkwürdigen Sicherheitsverständnis der zuständigen Microsoft-Entwickler. Der Schutz des laut Microsoft besonders sicheren Windows 10 S wurden Mitte 2017 schließlich ebenfalls über Office-Funktionalität ausgetrickst. Zumal, wie der Sicherheitsforscher von Security by Default eindrucksvoll demonstriert hat, ja auch andere Programme die sicheren Office-Apps per OLE für ihre Zwecke einspannen können. Microsoft hätte wenigstens klar kommunizieren können, welche Programme von Haus aus von CFA ausgenommen sind.

Microsofts Antwort auf die Warnung des Forschers gibt ebenfalls zu denken: Man stufe das Problem nicht als Sicherheitslücke ein, da der Exploit Guard des Windows Defender "keine Sicherheitsbarriere" sei. CFA ist eine Funktion des Windows Defender Exploit Guard (WDEG), der wiederum ein Nachfolger des Härtungs-Tools EMET ist. Warum eine eindeutig angreifbare Schwachstelle in einer zusätzlichen Sicherheitsfunktion von Windows keine Sicherheitslücke sein soll, fragt sich sicher nicht nur der Entdecker der Schwachstelle. Immerhin will Microsoft das Problem im Rahmen "einer Verbesserung der Controlled-Folder-Access-Funktion" dann doch aus der Welt schaffen. Wie genau das geplant ist, teilte Microsoft bisher nicht mit.

tipps+tricks zum Thema:

Anzeige
(fab)

426 Kommentare

Themen:

Anzeige
  1. Windows 10 Insider Preview mit neuen Sicherheitsmechanismen

    Windows 10 Insider Preview mit neuen Sicherheitsmechanismen

    Microsoft hat eine neue Windows-Version über das Insider Progamm veröffentlicht. Der Fokus liegt auf neuen Sicherheits-Funktionen: Schutz vor Exploits und Absicherung von Ordnern gegen Veränderungen.

  2. Windows 10: Fall Creators Update kommt am 17. Oktober

    Windows 10: Fall Creators Update kommt am 17. Oktober

    Im Oktober will Microsoft das "Fall Creators Update" an seine Kunden verteilen – das vierte Feature-Upgrade für Windows 10. Drin steckt auch eine neue Funktion, die den Schutz vor Ransomware verbessern soll.

  3. WannaCry & Co.: So schützen Sie sich

    WannaCry & Co. – So schützen Sie sich

    Nach WannaCry ist vor dem nächsten Erpressungstrojaner. Was Gefährdete jetzt tun sollten, wie Sie sich vor Nachahmern schützen können und welche Optionen bleiben, wenn der Verschlüsselungstrojaner schon zugeschlagen hat.

  4. Alles, was wir bisher über den Petya/NotPetya-Ausbruch wissen

    Alles was wir bisher über den Petya-Ausbruch wissen

    Ein riesiger Ausbruch eines weiteren Erpressungstrojaners hält die Welt in Atem. Wie kam es zu dem Angriff, wer profitiert davon und was kann ich unternehmen, um mich zu schützen? Wir haben den aktuellen Wissensstand zusammengetragen.

  1. So sicherst du Windows 10 gegen Erpresser-Trojaner ab

    Erpresser-Trojaner gehören zu den fiesesten Bedrohungen für PCs. Mit einigen Vorkehrungen kannst du dich gegen Lösegeldforderungen schützen.

  2. Virenschutz: Windows Defender aktivieren

    Du willst deinen Computer vor Viren schützen? Dann sollte der in Windows 10 integrierte Windows Defender immer aktiv sein!

  3. ZIP-Archiv mit einem Passwort schützen? So geht's!

    Sie möchten nicht, dass jeder auf Ihr ZIP-Archiv zugreifen kann und wollen es deshalb mit einem Passwort schützen? Wir zeigen Ihnen, wie es geht.

  1. Forscher: Autoverkehr für Kommunen dreimal so teuer wie Bus und Bahn

    Forscher: Autoverkehr für Kommunen dreimal so teuer wie Bus und Bahn

    Der Kasseler Verkehrswissenschaftler Carsten Sommer hat errechnet, dass der Autoverkehr in deutschen Großstädten dreimal so viel öffentliche Gelder verschlingt wie kommunale Verkehrssysteme.

  2. Piraten-Sicherheitskonferenz: "Das Internet steht am Scheideweg"

    Internet

    Abseits der Münchner Sicherheitskonferenz luden europäische Piratenparteien zur alternativen Sicherheitskonferenz, um die Widerstandsfähigkeit von technischen und politischen Systemen zu diskutieren.

  3. Orange und Vodafone behandeln ihre Kunden in Afrika schlechter als in Europa

    Orange und Vodafone behandeln ihre Kunden in Afrika schlechter als in Europa

    Orange und Vodafone bieten sowohl in Europa als auch in Afrika Dienste an. Internet Without Borders hat die Angebote verglichen. Das Ergebnis: Afrikanische Kunden müssen mit vielen Nachteilen leben.

  4. SpaceX startet die ersten beiden Test-Satelliten für Starlink

    SpaceX startet So. die ersten beiden Test-Satelliten für Starlink

    Unter dem Namen Starlink will SpaceX ein aus 12.000 Satelliten bestehendes Netzwerk im niedrigen Erdorbit aufbauen. Zwei Test-Satelliten für das System starten am morgigen Sonntag an Bord einer Falcon-9-Rakete.

Anzeige