Hacker missbrauchen Windows-Update-Downloader

Diskutiere Hacker missbrauchen Windows-Update-Downloader im IT-News Forum im Bereich IT-News; Symantec hat herausgefunden, dass Angreifer immer häufiger eine bereits in Windows integrierte Download-Funktion nutzen, um ihre Schädlinge, die...
#1
Eric-Cartman

Eric-Cartman

Moderator
Threadstarter
Team
Dabei seit
22.06.2005
Beiträge
8.629
Alter
38
Ort
In Windows Nr. 10




Symantec hat herausgefunden, dass Angreifer immer häufiger eine bereits in Windows integrierte Download-Funktion nutzen, um ihre Schädlinge, die ein System bereits befallen haben, zu aktualisieren. Dazu missbrauchen die Angreifer einfach BITS, welches eigentlich für Windows Update den Download von Updates erledigen soll.

Angreifer nutzen vermehrt die Datei-Transfer-Komponente von Windows Update, um schädlichen Code an der Firewall vorbei zu schmuggeln. Darauf haben die Sicherheitsexperten von Symantec jetzt aufmerksam gemacht.

Konkret wird von den Angreifern die Windows-Komponente Background Intelligent Transfer Service (BITS) genutzt, die eigentlich für den Download von Updates über Windows Update zuständig ist. BITS feierte seine Premiere in Windows XP und ist außerdem auch in Windows Vista und Windows Server 2003 enthalten. Der asynchrone Datei-Transfer-Dienst lädt Patches im Hintergrund herunter und fährt die Downloadgeschwindigkeit automatisch herunter, sobald der Anwender die Bandbreite für andere Dinge benötigt. Der Dienst ist außerdem in der Lage, abgebrochene Downloads fortzuführen.

Damit ist BITS eigentlich eine nützliche Komponente, die auch per COM API programmiert werden kann. Genau diesen Umstand nutzen aber laut Angaben von Symantec in letzter Zeit Angreifer aus. Hat eine Schadsoftware bereits einen Rechner befallen, dann nutzt sie BITS dafür, um ihren Code zu aktualisieren. Die Angreifer wissen nämlich, dass BITS auf den angegriffenen Windows-Rechnern enthalten ist und die über BITS getätigten Downloads vom System als vertrauenswürdig erachtet und von der lokalen Firewall nicht geblockt werden.

Erste Hinweise darauf, dass Hacker den BITS für ihre Zwecke missbrauchen wollen, entdeckte Symantec vor einem Jahr in einem einschlägigen russischen Forum. Im März dieses Jahres tauchte dann das erste trojanische Pferd auf, das BITS für seine Aktualisierung nutzt.

Oliver Friedrichs, Director von Symantec's security response group, betont allerdings, dass von Windows Update selbst keine Gefahr ausgeht. „Es gibt keine Hinweise darauf, die vermuten lassen, dass Windows Update kompromittiert werden kann. Wenn es eine Schwäche hätte, dann hätte sie jemand bereits gefunden“, so Friedrichs.

Die Nutzung von BITS durch die Angreifer zeige aber, so Friedrichs, dass schädliche Software immer häufiger modular aufgebaut wird und damit dem allgemeinen Trend der Software-Entwicklung folgt. Statt also dem Schädling eine eigene Download-Routine zu spendieren, wird einfach der bereits bestehende Code verwendet und der Angreifer spart Entwicklungszeit.

Symantec empfiehlt Microsoft Änderungen an BITS vorzunehmen. So könnte beispielsweise BITS so geändert werden, dass nur noch Downloads von vertrauenswürdigen Adressen gestattet sind oder das die Nutzung von BITS höhere Benutzerrechte erfordert.

Quelle: IDG Magazine Media GmbH/PC-WELT Online
 
#2
L

Lenny

Gast
Was für ein Shice, das wird immer schlimmer...macht wirklich bald keinen Spaß mehr. Auf was soll man überhaupt noch vertrauen. So wissen wir jetzt auch wie man zB. den Bundestrojaner aufs System bekommen kann. :wut
 
#3
Bullayer

Bullayer

Schwergewicht
Dabei seit
19.07.2006
Beiträge
24.140
Ort
DE-RLP-COC
Wenn das so weitergeht wird bald niemand mehr Updates ziehen.
 
#8
MountWalker

MountWalker

Dabei seit
16.07.2004
Beiträge
308
Wenn das so weitergeht wird bald niemand mehr Updates ziehen.
Für Leute, die sich von Halbwahrheiten blenden lassen, mag das stimmen. Das Problem ist hier aber nicht Windows-Update, denn irgendein Programm wird es immer geben, dass Dateien aus dem Internet laden kann und das du mitunter auch ganz bewusst für den Internetverkehr freischaltest. Jedes Programm mit einer Update-Funktion und sei es iTunes. Dass solche Programme auch von Malware genutzt werden können ist kein bisschen neu und wird bspw. von einigen Beitragstellern des CCC schon seit ettlichen Jahren als Grund für die relative Sinnlosigkeit von "Personal Firewalls" aufgeführt - bei umfangreicheren "Personal Firewall" Programmen, wie bspw. ZoneAlarm, Symantec oder Kerio, die eine eigene Update-Funtion haben, kann auch die Firewall selbst dazu benutzt werden an ihr vorbeizukommen. Alles was man braucht sind Schreibrechte auf das Programm, das man misbrauchen will - die braucht man in jedem Fall auch beim Misbrauchen des Windows-Dienstes.
 
#9
frankbier

frankbier

Dabei seit
20.10.2005
Beiträge
7.402
Ort
WinBoard
Es gibt bald nur noch eine Möglichkeit unbeschwert ins Netz zu gehen.
Live CD egal ob jetzt Win oder Linux und anschließend, wenn man wieder „normal“ arbeitet Netzstecker ziehen. :cheesy
 
#10
L

Lenny

Gast
Es gibt bald nur noch eine Möglichkeit unbeschwert ins Netz zu gehen.
Live CD egal ob jetzt Win oder Linux und anschließend, wenn man wieder „normal“ arbeitet Netzstecker ziehen. :cheesy
Das ist wirklich war, zwar umständlich aber was solls...
 
#11
frankbier

frankbier

Dabei seit
20.10.2005
Beiträge
7.402
Ort
WinBoard
Wenn man das immer machen würde, brauchte man auch kein SP , keine Updates, keinen Virenscanner und so weiter.;)

Es ist halt immer so umständlich .
 
#13
Creeping Death

Creeping Death

Dabei seit
04.06.2005
Beiträge
819
Ort
Badnerland
Wie MountWalker bereits richtig angedeutet hat, liegt das Problem nich bei den Windows Updates. Erst einmal muss die Schadsoftware überhaupt auf den Rechner gelangen und wenn das passiert, hat meistens derjenige, der vor dem Rechner sitzt Schei**e gebaut.

Natürlich beeindruckt der Titel "Hacker missbrauchen Windows-Update-Downloader" vor allem die geBILDeten Leser, aber Tatsache ist, dass Schadsoftware, welche sich bereits auf dem Rechner befindet jede Menge Möglichkeiten hat, nach draussen zu gelangen. Ob nun Komponenten des Browser, des Mailclients oder einer beliebigen Softwareupdatekomponente benutzt wird ist im Grunde egal. "BITS" ist einfach nur ein weiterer recht brauchbarer Weg nach "draussen".

Bessere Firewalls, wie z.B. Agnitum Outpost erkennen (und melden) zwar, dass ein Programm das unbekannt ist eine fremde Komponente benutzt - jedoch wird der durchschnittliche User permanent mit derart vielen dieser Meldungen überschüttet, dass er eher zu oft als zu wenig auf "Erlauben" klickt.

Klar sind LiveCDs wohl das beste Mittel um sicher zu surfen. Allerdings sollte der durchschnittlich gebildetete, nicht File-sharende und auch nicht Porno-süchtige Benutzer auch nicht wirklich derart stark gefährdet sein, dass der Einsatz einer LiveCD zwingen notwendig wäre.
 
#14
L

Lenny

Gast
Wie MountWalker bereits richtig angedeutet hat, liegt das Problem nich bei den Windows Updates. Erst einmal muss die Schadsoftware überhaupt auf den Rechner gelangen und wenn das passiert, hat meistens derjenige, der vor dem Rechner sitzt Schei**e gebaut.
Ist ja wohl auch nicht Undenkbar das die Schadsoftware auf die MS Server gelangt, wer hat dann *******e gebaut.
 
#19
Creeping Death

Creeping Death

Dabei seit
04.06.2005
Beiträge
819
Ort
Badnerland
So wie ich das sehe ist die Chance das ein MS Server verseucht wird, um ein Tausendfaches größer, als wir von einem Meteor vernichtet werden. Soviel zu den Relationen.
Da stimme ich Dir sicherlich zu, allerdings könnte auch eine Linux-LiveCD mit einem Trojaner versehen sein, der meine Banking PINs und TANs an irgendeine kriminelle Vereinigung schickt. Genauso könnte absolut jede Software, die ich herunterlade mit Malware verseucht sein - sogar die Personal Firewall und der Virenscanner.
Allerdings halte ich es für tausendfach wahrscheinlicher, dass der Schaden durch nicht durchgeführte, von anderer Quelle als Microsoft gezogener oder einfach nur verspätet installierter Windows-Updates größer ist, als die automatische Updatefunktion zu benutzen.
 
#20
L

Lenny

Gast
Allerdings halte ich es für tausendfach wahrscheinlicher, dass der Schaden durch nicht durchgeführte, von anderer Quelle als Microsoft gezogener oder einfach nur verspätet installierter Windows-Updates größer ist, als die automatische Updatefunktion zu benutzen.
Keine Frage, das ist wohl auch so, ich wollte damit nur sagen, dass auch eine Verseuchung der MS Server nicht auszuschliessen ist.
 
Thema:

Hacker missbrauchen Windows-Update-Downloader

Hacker missbrauchen Windows-Update-Downloader - Ähnliche Themen

  • Hacker

    Hacker: An wen soll man erpresserische Mails (angeblich gehackter PC, mail an mich von meiner mail-Adresse etc.) ) oder Phishing Mails melden? oder nur...
  • Hacker mit Microsoft-Identität räumen meine Konten während sie angeblich die Viren entfernen wollen mit Log me in

    Hacker mit Microsoft-Identität räumen meine Konten während sie angeblich die Viren entfernen wollen mit Log me in: Mir wurden von meinem Konto von einem angeblichen Microsoft-Supporter 5.850€ entwendet, der sich Zugang durch Log me in verschafft hatte und sich...
  • Hacker mit Microsoft-Identität räumen meine Konten während sie angeblich die Viren entfernen wollen mit Log me in

    Hacker mit Microsoft-Identität räumen meine Konten während sie angeblich die Viren entfernen wollen mit Log me in: Mir wurden von meinem Konto von einem angeblichen Microsoft-Supporter 5.850€ entwendet, der sich Zugang durch Log me in verschafft hatte und sich...
  • Hacker Erpressung

    Hacker Erpressung: Sehr geehrtes Microsoft ! Entschuldigen Sie wenn ich mit meiner Frage an den falschen Mitarbeiter gekommen bin, es ist nicht so einfach ,den...
  • Hacker missbrauchen Googles Entwicklerwebsite zur Malware-Verbreitung

    Hacker missbrauchen Googles Entwicklerwebsite zur Malware-Verbreitung: Sie hosten auf Google Code manipulierte Dateien und Webinhalte. Websense findet dort auch Trojaner und eine PHP-basierte Web-Konsole. Eine...
  • Ähnliche Themen

    Oben