zurück zur Übersicht

MS Keylogger: ich weiß, was Du gerade getippt hast

Kritisch: Windows kommt mit vorinstalliertem KeyloggerDas CyberPoint Security Research Team hat eine Funktion in Windows (ab Windows 7) entdeckt, mit der über Kernel Debugging von USB-Interfaces jegliche Tastatureingabe mitgelesen werden kann – ähnlich einem Keylogger. Um das Ganze noch mit einem Sahnehäubchen zu versehen, ist anzumerken, dass dies in jeder Windows Installation ab Windows 7 funktioniert und standardmäßig auch aktiviert ist.

Event Tracing ersetzt Keylogger

Es handelt sich hierbei um das sogenannte „Event Tracing for Windows“ (ETW). Das System ist eiegtnlich für Entwickler und Administratoren gedacht, um System- und Anwendungsperformance zu messen und beim Troubleshooting zu unterstützen. ETW stellt sogenannte Provider zur Verfügung, über die Daten ausgelesen werden können. So können z.B. auch die Events getrackt werden, die eine handelsübliche USB-Tastatur generiert – sprich: die Tastenanschläge.

Die relevanten Provider für das Keylogging sind Microsoft-Windows-USB-UCX und Microsoft-Windows-USB-USBPORT.

Die Ausführlichkeit des Loggings ist hier der springende Punkt: jegliche Tastatureingabe kann über diese Event-Provider im ASCII-Format protokolliert werden.

Normalerweise werden Roh-USB-Daten initial immer vom USB-Stack bearbeitet und können erst danach vom Betriebssystem weiter verarbeitet werden. Dann greifen auch die zahlreichen Sicherheitsmaßnahmen und Vorgaben. Durch die Wahl der beiden genannten Provider ist es über ETW allerdings möglich, die Rohdaten direkt abzugreifen – wie ein Hardware-Keylogger, der auf den USB-Port aufgesteckt wird.

Microsoft implementiert immer mehr Maßnahmen, um die Angriffsfläche von Windows zu verringern, insbesondere in Bezug auf Credential- und Hash-Stealing-Techniken – etwa „Virtual Secure Mode“ und „Credential Guard“ in Windows 10. Da aber ETW „direkt am Anschluss“ Zugriff auf die Daten hat, wird hier jegliche noch so mächtige und sinnvolle Lösung ausgehebelt. Passworteingaben können einfach im Klartext mitgeschrieben werden, und das ohne zusätzliche Programme, unerkannt vom Virenscanner.

Wie kann man sich schützen?

Die gute Nachricht: Für die Nutzung der relevanten Event-Provider sind Administratorrechte auf dem angegriffenen System notwendig. Das bedeutet, dass man sich mit Hilfe folgender Maßnahmen grundsätzlich schützen kann:

  • Die Nutzung von Administratorrechten einschränken
  • UAC (User Account Control) unbedingt aktivieren
  • Administratorrechte nur an vertrauenswürdige Benutzer bzw. Programme vergeben

Aktuell prüft noch kein Virenscanner, ob ein Programm diese Event-Provider nutzt. Es wird grundsätzlich kein böswilliges Verhalten erkannt, weil lediglich reguläre Funktionen des Betriebssystems genutzt werden. Es ist zu erwarten, dass Hersteller hier zeitnah entsprechende Checks in ihre Produkte aufnehmen. Bis dahin bleibt nur die Möglichkeit, diese Überprüfung selbst durchzuführen, im Idealfall automatisiert und mit entsprechender Anbindung an ein SIEM-System (Security Incident and Event Management), um Angreifer, die diese Funktion nutzen, aufspüren zu können.

Letztlich ist es nur die halbe Miete, seitenweise Tastenanschläge mitzuprotokollieren: Die Daten müssen, um für Angreifer nutzbar zu werden, auch aus dem System herausgeschleust werden. Dennoch ist diese Sicherheitslücke im Kernsystem von Windows mehr als bedenklich.

 


Bild: ©iT-CUBE SYSTEMS AG 2016

 

Schreibe einen Kommentar