Erpressungstrojaner-Schutz von Windows 10 geknackt?
So oder so ähnlich titeln gerate viele IT-News Seiten (1). Worum es dabei geht und welcher grundsätzliche Gedankenfehler dabei gemacht wird möchte ich kurz skizzieren.
Was ist passiert?
Das Feature "Kontrollierter Ordnerzugriff" (Windows 10 V.1709) sorgt dafür das der Zugriff auf eine Reihe voreingestellter sowie selbst ausgewählter Ordner durch Programme unterbunden wird. Dazu gehören Standardmäßig auch die Ordner der "Eigenen Dateien". Nur zuvor freigegebene Programme bekommen schreibenden Zugriff.
Wird nun ein Verschlüsselungstrojaner auf dem System aktiv bekommt er im Idealfall keinen schreibenden Zugriff auf die Dateien. Ergo können sie nicht mehr verschlüsselt werden.
Der Sicherheitsforscher Yago Jesus hat nun herausgefunden, dass sich dieser Schutz umgehen lässt. Auf der Whitelist der Programme die auf die geschützten Ordner zugreifen dürfen steht nämlich automatisch Microsoft Office (falls vorhanden). Dies macht zunächst auch Sinn, da 99,9% der User mit ihrem Officepaket auf ihre eigenen Dateien zugreifen wollen.
Microsoft Office verfügt allerdings über eine sogenannte OLE-Schnittstelle. Diese Schnittstelle erlaubt Programmen von außen auf bestimmte Office Programme zuzugreifen. So kann z.B. eine Exceltabelle in ein Worddokument eingebunden werden. Ändert man in Word den Inhalt der Tabelle schreibt Word über die OLE-Schnittstelle von Excel direkt in die eigebettete Exceldatei. Dies findet im Hintergrund statt.
Der Sicherheitsforscher hat nun einfach ein kleines Programm geschrieben, dass über diese Schnittstelle auf die "Eigenen Dateien" zugreift und diese manipuliert. Aus Sicht des Betriebssystems findet der Zugriff dabei durch Word statt. Da Word auf der Whitelist steht greift der "Kontrollierte Ordnerzugriff" nicht.
Ist das eine Sicherheitslücke?
Streng genommen, nein. Der "Kontrollierte Ordnerzugriff" soll Programme die nicht auf der Whitelist stehen am Zugriff hindern - das tut er. Die OLE-Schnittstelle funktioniert ebenfalls fehlerfrei und so wie sie soll. Natürlich umgeht man auf diesem Weg die Zugriffssperre. Microsoft hat deshalb auch angekündigt zu prüfen, ob man beim Zugriff auf die OLE-Schnittstelle Änderungen vornehmen kann...
...aber ist damit Windows 10 Erpressungstrojanern tatsächlich schutzlos ausgeliefert?
Wer so argumentiert hat nicht verstanden, dass es nicht DEN Schutz gibt. Tatsächlich beinhaltet Windows 10 eine ganze Anzahl verschiedener Schutzmechanismen. Nur wer sie alle im Sinne eines mehrschichtigen Sicherheitskonzepts begreift und anwendet kann Windows wirkungsvoll absichern. Dazu sei noch einmal auf meinen letzten Blog-Post verwiesen (3).
Wer z.B. die Software Restriction Policies (SRP) von Windows verwendet wäre in dem geschilderten Szenario immer noch vor der Manipulation seiner Daten sicher, auch wenn das AntiVirus Programm nicht anschlagen würde. Selbst wenn man ein gut getarntes Programm im Anhang einer E-Mail öffnen sollte, würden die SRP einfach die Ausführung verhindern. Fertig.
Ergo: Wer verstanden hat, dass der "Kontrollierter Ordnerzugriff" nur eine Teilmenge des Ransomwareschutzes von Windows 10 ist, versteht auch, dass das Problem nicht so groß ist wie es derzeit gemacht wird. ;-)
(1) https://www.heise.de/security/meldung/Der-Erpressungstrojaner-Schutz-von-Windows-10-hat-eine-riesige-Luecke-Office-Apps-3962158.html.
(2) http://www.securitybydefault.com/2018/01/microsoft-anti-ransomware-bypass-not.html.
(3) https://steemit.com/neulingschallenge/@privacybydesign/windows-10-virensicher-machen-mit-bordmitteln-ein-ueberblick