PC Magazin mit Film DVD Rettung per USB (Vorschau)

31
Installation angelegte Miniatur-Betriebssystem,
verfügt über die Reparaturfunktionen,
ist jedoch für den OSK-Hack ungeeignet. Der
PC muss mit der Boot-DVD gestartet werden.
Dazu muss häufig die Boot-Reihenfolge im
BIOS des Systems verändert werden. Wurde
das BIOS so konfiguriert, dass der Rechner
immer zuerst von der Festplatte startet und
hat der Anwender sein BIOS zusätzlich mit einem
Passwort geschützt, so wird es wiederum
schwerer, diesen Angriff auszuführen.
Startet der Rechner von der DVD, so wird der
Angreifer natürlich keine Neuinstallation von
Windows durchführen. Er wird das erste Dialogfenster
Windows installieren noch mit
Weiter quittieren. Im zweiten Dialogfenster
wird er aber nicht Jetzt installieren, sondern
die Computerreparaturoptionen im unteren,
linken Fensterbereich auswählen.
Dann analysieren die Systemwiederherstellungsoptionen
die lokalen Festplatten und
suchen nach dort vorhandenen Windows-
Installationen. Findet das Programm mehrere
Windows-Installationen auf dem Computer,
so muss der Anwender das gewünschte Windows
in der Auswahlliste markieren. Dabei
bleibt die obere Option Verwenden Sie Wiederherstellungstools…
ausgewählt.
Schritt 2 Die Umbenennung
Hat der Angreifer vom passenden Boot-
Medium gestartet, so erscheint die Auswahl
der Systemwiederherstellungsoptionen. Hier
kann er die Eingabeaufforderung ganz unten
in der Auswahl starten und auf der Kommandozeile
nun nacheinander die folgenden Befehle
eingeben:
c:
cd windows\system32
copy osk.exe osk2.exe
del osk.exe
copy cmd.exe osk.exe
Das ist ein entscheidender Teil des Angriffs:
Üblicherweise ist ein derartiges Umbenennen
von Systemdateien unter Windows nicht möglich.
Aber die Eingabeaufforderung in den
Systemwiederherstellungsoptionen besitzt
die dazu nötigen Zugriffsrechte und so kann
die ausführbare Datei für die Eingabeaufforderung
mit dem Namen der Bildschirmtastatur
versehen werden.
Schritt 3 Reboot
Danach wird der Computer über Neu starten
wie gewohnt gebootet. Im Anmeldedialog
von Windows ist dann unten links in der Ecke
das blaue Symbol Erleichterte Bedienung zu
sehen. Es erscheint das Dialogfenster Erleichterte
Bedienung mit der Auswahl Text ohne
Tastatur eingeben (Bildschirmtastatur). Wird
Kleine, unauffällige
Anwendung mit großer
Wirkung: die so
genannte Bildschirmtastatur
(OSK – On
Screen Keyboard).
diese Auswahl vorgenommen, so erscheint
nach der von uns vorgenommenen Manipulation
nun nicht mehr wie von Microsoft geplant
die Bildschirmtastatur, sondern die Eingabeaufforderung,
die nun mit den hohen Rechten
des SYSTEM-Kontos arbeitet. Der Fehlertext,
dass kein Meldungstext für die Meldungsnummer
0x8 gefunden werden konnte, darf
an dieser Stelle einfach ignoriert werden.
Schritt 4 Neuer Admin
Um nun einen neuen Benutzer in Windows
anzulegen, wird der Anwender den Befehl
net user /add
eingeben. Soll beispielsweise
der Benutzer meanguy mit dem
Passwort Password$ angelegt
werden, so ist folgendes Kommando
einzugeben:
net user meanguy Password$
/add
Um wirklich alle Aktivitäten auf
dem Computer durchführen zu
können, muss dieser Nutzer nun
der Gruppe der Lokalen Administratoren hinzugefügt
werden:
net localgroup administratoren meanguy
/add
Die Eingabeaufforderung kann nun durch einen
Mausklick auf das Schließen-Symbol oder
durch Eingabe von exit geschlossen werden.
Nach einem Neustart erscheint die Auswahl
der möglichen Benutzer inklusive meanguy.
Schritt 5 Aus der Ferne mitlesen
Während der Anmeldung am Desktop des
PCs besitzt der zusätzliche Administrator
nun alle erdenklichen Möglichkeiten: Freigaben
anlegen und mit Zugriffsrechten für sich
selbst belegen, Daten von Benutzern kopieren,
Remote-Desktop-Zugriffsrechte erlangen
oder zusätzliche Programme installieren. Es
versteht sich von selbst, dass er durch weitreichende
Anpassungen natürlich die Gefahr
erhöht, entdeckt zu werden.
Schritt 6 Unsichtbar machen
Ein zusätzlicher Benutzer in der Auswahl, zumal
mit dem von uns so passend gewählten
Namen, dürfte jedem noch so wenig PC-erfahrenen
Anwender schnell auffallen. Deshalb
muss dieser Benutzer nun versteckt werden
und sein Name vom Anmeldebildschirm verschwinden.
Das gelingt durch eine Modifikation
der Windows-Registry.
Der Angreifer startet jetzt das
Programm regedit und öffnet
den Pfad HKEY_LOCAL_MA-
CHINE\Software\Microsoft\
WindowsNT\CurrentVersion\
Winlogon.
Er klickt danach in der linken
Baumstruktur auf den Eintrag
Winlogon und legt dort durch
einen Rechtsklick einen neuen Schlüssel mit
dem Namen SpecialAccounts an. In diesem
neuen Schlüssel legt er anschließend in der
linken Struktur ebenfalls durch einen Rechtsklick
einen weiteren neuen Schlüssel namens
UserList an. Nun wird im rechten Fenster
durch ein Rechtsklick im leeren Bereich ein
neuer DWORD (32bit) Wert erstellt und mit
dem Namen des unerlaubten Administrators
belegt. Dabei steht der Wert 0 in der Spalte
Daten dafür, dass der Benutzer unsichtbar ist
(sichtbar ist Wert 1). Wichtig für die von uns
geplante Zugriffsmöglichkeit: Ob sichtbar,
oder nicht – über das Netzwerk können diese
Anmeldedaten für Zugriffe auf den PC immer
genutzt werden und der Nutzer direkt am
Schützen Sie
Ihr Notebook
durch Verschlüsselung
der Festplatte
Der erste entscheidende
Schritt beim
Angriff: Nach dem
Start von der DVD wird
nicht das Windows-
System installiert,
sondern der Angreifer
wählt die Computerreparaturoptionen
aus.
www.pc-magazin.de PC Magazin 4/2012