zurück zur Übersicht

MS Keylogger: ich weiß, was Du gerade getippt hast

Kritisch: Windows kommt mit vorinstalliertem KeyloggerDas CyberPoint Security Research Team hat eine Funktion in Windows (ab Windows 7) entdeckt, mit der über Kernel Debugging von USB-Interfaces jegliche Tastatureingabe mitgelesen werden kann – ähnlich einem Keylogger. Um das Ganze noch mit einem Sahnehäubchen zu versehen, ist anzumerken, dass dies in jeder Windows Installation ab Windows 7 funktioniert und standardmäßig auch aktiviert ist.

Event Tracing ersetzt Keylogger

Es handelt sich hierbei um das sogenannte „Event Tracing for Windows“ (ETW). Das System ist eiegtnlich für Entwickler und Administratoren gedacht, um System- und Anwendungsperformance zu messen und beim Troubleshooting zu unterstützen. ETW stellt sogenannte Provider zur Verfügung, über die Daten ausgelesen werden können. So können z.B. auch die Events getrackt werden, die eine handelsübliche USB-Tastatur generiert – sprich: die Tastenanschläge.

Die relevanten Provider für das Keylogging sind Microsoft-Windows-USB-UCX und Microsoft-Windows-USB-USBPORT.

Die Ausführlichkeit des Loggings ist hier der springende Punkt: jegliche Tastatureingabe kann über diese Event-Provider im ASCII-Format protokolliert werden.

Normalerweise werden Roh-USB-Daten initial immer vom USB-Stack bearbeitet und können erst danach vom Betriebssystem weiter verarbeitet werden. Dann greifen auch die zahlreichen Sicherheitsmaßnahmen und Vorgaben. Durch die Wahl der beiden genannten Provider ist es über ETW allerdings möglich, die Rohdaten direkt abzugreifen – wie ein Hardware-Keylogger, der auf den USB-Port aufgesteckt wird.

Microsoft implementiert immer mehr Maßnahmen, um die Angriffsfläche von Windows zu verringern, insbesondere in Bezug auf Credential- und Hash-Stealing-Techniken – etwa „Virtual Secure Mode“ und „Credential Guard“ in Windows 10. Da aber ETW „direkt am Anschluss“ Zugriff auf die Daten hat, wird hier jegliche noch so mächtige und sinnvolle Lösung ausgehebelt. Passworteingaben können einfach im Klartext mitgeschrieben werden, und das ohne zusätzliche Programme, unerkannt vom Virenscanner.

Wie kann man sich schützen?

Die gute Nachricht: Für die Nutzung der relevanten Event-Provider sind Administratorrechte auf dem angegriffenen System notwendig. Das bedeutet, dass man sich mit Hilfe folgender Maßnahmen grundsätzlich schützen kann:

  • Die Nutzung von Administratorrechten einschränken
  • UAC (User Account Control) unbedingt aktivieren
  • Administratorrechte nur an vertrauenswürdige Benutzer bzw. Programme vergeben

Aktuell prüft noch kein Virenscanner, ob ein Programm diese Event-Provider nutzt. Es wird grundsätzlich kein böswilliges Verhalten erkannt, weil lediglich reguläre Funktionen des Betriebssystems genutzt werden. Es ist zu erwarten, dass Hersteller hier zeitnah entsprechende Checks in ihre Produkte aufnehmen. Bis dahin bleibt nur die Möglichkeit, diese Überprüfung selbst durchzuführen, im Idealfall automatisiert und mit entsprechender Anbindung an ein SIEM-System (Security Incident and Event Management), um Angreifer, die diese Funktion nutzen, aufspüren zu können.

Letztlich ist es nur die halbe Miete, seitenweise Tastenanschläge mitzuprotokollieren: Die Daten müssen, um für Angreifer nutzbar zu werden, auch aus dem System herausgeschleust werden. Dennoch ist diese Sicherheitslücke im Kernsystem von Windows mehr als bedenklich.

 


Bild: ©iT-CUBE SYSTEMS AG 2016

 

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer