PC Magazin mit Film DVD Rettung per USB (Vorschau)
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
32<br />
SOFTWARE<br />
SICHERHEIT<br />
Mit Hilfe der Eingabeaufforderung der Systemwiederherstellung<br />
gelingt es problemlos, die Datei cmd.exe<br />
auf dem Windows-System zu manipulieren.<br />
Nach dem Neustart bringt der Klick auf die Bildschirmtastatur nun die Eingabeaufforderung<br />
auf den Bildschirm und erlaubt das Anlegen eines zusätzlichen Nutzers <strong>mit</strong> Administratorrechten.<br />
Rechner wird kaum Verdacht schöpfen. Das<br />
gilt sowohl für Remote Desktop-Verbindungen<br />
als auch für die Möglichkeit, sich gegenüber<br />
Freigaben zu identifizieren.<br />
Schließlich empfiehlt sich noch ein erneuter<br />
Start <strong>mit</strong> der Boot-<strong>DVD</strong>, um die Modifikation<br />
der Online-Tastatur rückgängig zu machen:<br />
Die neue osk.exe sollte gelöscht und die osk2.<br />
exe wieder in osk.exe umbenannt werden. Im<br />
Ernstfall wird der Angreifer zudem einen anderen<br />
Name nals meanguy wählen und beispielsweise<br />
eine verschleiernde Bezeichnung<br />
wie nvidiaUpdate oder MSWSUSplus nutzen.<br />
XP sicher<br />
Interessanterweise ist die hier beschriebene<br />
Sicherheitslücke unter Windows XP/2003<br />
nicht nutzbar. Wir testeten den OSK-Hack<br />
auch unter Windows 8 in der Develo<strong>per</strong> Preview.<br />
Dort hatten wir ebenso wie bei Windows<br />
Vista Erfolg. Ob sich diese Lücke auch<br />
in der späteren Retail-Variante von Windows<br />
8 nutzen lassen wird, kann derzeit niemand<br />
abschätzen.<br />
Wir haben den Angriff probeweise auch in einer<br />
Active-Directory-Domäne ausprobiert, in<br />
der typischerweise Workstations und Server<br />
im professionellen Umfeld organisiert sind.<br />
Zwar konnte der Angreifer in diesem Szenario<br />
den administrativen Zugriff auf das lokale<br />
System erlangen, es war ihm jedoch nicht<br />
möglich, Nutzerkonten im AD anzulegen. Die<br />
Domänen-Controller, die als Server in einem<br />
Active Directory für die Berechtigungsstruktur<br />
verantwortlich sind, besitzen keine lokalen<br />
Benutzer mehr.<br />
Der „OSK-Hack“ ist folglich auf einem Domänencontroller<br />
auch dann nicht anwendbar,<br />
wenn der Angreifer physikalischen Zugriff auf<br />
den Server erlangt hat.<br />
whs/tr<br />
Den Angriff verhindern<br />
Antivirus- und Antimalware-Programme<br />
bieten keinen Schutz. Der zusätzliche<br />
Administrator hinterlässt dennoch eine<br />
deutliche Spur – seinen Benutzer-Account.<br />
Tools wie Microsoft Baseline Security Analyzer<br />
prüfen auch in Unternehmensnetzwerken,<br />
wie viele lokale Administratoren<br />
auf einem <strong>PC</strong> zu finden sind, und schlagen<br />
gegebenenfalls Alarm. Zwar kann das<br />
Benutzerkonto wie erläutert auf dem Anmeldebildschirm<br />
ausgeblendet werden,<br />
im Benutzerprofil-Verzeichnis wird in jedem<br />
Fall von Windows ein neuer %HOME-<br />
PATH% eingerichtet. Wer all diese regelmäßig<br />
durchzuführenden Detailprüfungen<br />
Auch die Bitlocker-<br />
Software, die unter<br />
den Windows-7-<br />
Versionen Ultimate<br />
und Enterprise zum<br />
System gehört, kann<br />
wirkungsvoll den<br />
Zugriff über die OSK-<br />
Lücke auf das System<br />
verhindern.<br />
scheut und lieber auf Nummer sicher gehen<br />
will, dem bleibt die Verschlüsselung<br />
der Festplatte als probates Schutz<strong>mit</strong>tel.<br />
Wir haben auch diesen Fall durchgespielt<br />
und die Windows-Partition eines Windows-7-Ultimate-Systems<br />
auf einem Notebook<br />
zunächst <strong>mit</strong> Hilfe von TrueCrypt<br />
komplett verschlüsselt. Wird dieses System<br />
dann von der Betriebssystem-<strong>DVD</strong> aus<br />
gestartet, so erkennt das System zwar<br />
eine Windows-Installation auf der Festplatte<br />
– aber zeigt seine Größe bereits <strong>mit</strong><br />
0 MByte an. Lässt sich ein Angreifer davon<br />
nicht schrecken, so wird er spätestens<br />
im nächsten Schritt komplett ausgebremst:<br />
Die Systemwiederherstellung findet<br />
kein Dateisystem auf der Platte, eine<br />
Manipulation ist unmöglich.<br />
Kommt ein Windows 7 oder Vista in der<br />
Version Ultimate oder Enterprise zum<br />
Einsatz, so kann ein Anwender natürlich<br />
auch die integrierte Festplattenverschlüsselung<br />
Bitlocker verwenden, um sein System<br />
vor dieser Art von Angriffen zu schützen.<br />
Auch diese Möglichkeit haben wir<br />
auf einem Testsystem durchgespielt: Der<br />
Vorteil beim Einsatz von Bitlocker besteht<br />
darin, dass die Windows-Systemwiederherstellung<br />
sofort erkennt, dass es sich<br />
hier um eine durch Bitlocker geschützte<br />
Festplatte handelt. Aber genau wie bei<br />
der Verschlüsselung <strong>mit</strong> TrueCrypt werden<br />
auch hier nur 0 MByte angezeigt und<br />
die Eingabeaufforderung findet kein Dateisystem,<br />
<strong>mit</strong> dem sie arbeiten könnte.<br />
Wer bis jetzt noch keinen Grund gefunden<br />
hat, warum er die Festplatten mobiler<br />
Windows-Systeme <strong>mit</strong> einer Festplattenverschlüsselung<br />
schützen sollte, der findet<br />
hier eine eindrucksvolle Bestätigung<br />
dafür, dass solche Lösungen auch vor raffinierten<br />
Angriffen wirkungsvoll schützen.<br />
<strong>PC</strong> <strong>Magazin</strong> 4/2012 www.pc-magazin.de