© Liashko/Shutterstock.com
Entwickler Magazin
Angriffe über USB

Unsicherer Serial Bus

Seitdem USB den PS/2-Anschluss für Tastatur und Maus verdrängt hat, haben sicherheitsbewusste Admins ein Problem: Sie können das potenzielle Einfallstor USB-Port nicht einfach lahm legen. Und der erlaubt mehr Angriffe, als die meisten Benutzer ahnen.

Carsten Eilers


Betrachten wir zuerst einmal die allgemein bekannten Angriffe über den USB-Port: USB-Würmer und die „Evil Maid“.

Der Wurm, der durch den USB-Port kam

Würmer verbreiten sich im Allgemeinen über Netzwerke, entweder direkt über ein Netzwerkprotokoll oder zum Beispiel per E-Mail. Irgendwo in einem Netzwerk losgelassen, befallen sie nach und nach alle anderen angreifbaren Rechner im gleichen Netz [1] – egal, ob es sich dabei um ein lokales Netz oder das gesamte Internet handelt. Insbesondere Conficker hat in diesem Zusammenhang von sich Reden gemacht, aber auch davor gab es etliche sehr erfolgreiche Würmer [2].

Ein Spezialfall sind die „USB-Würmer“, die sich nicht über eine Netzwerkverbindung verbreiten, sondern die AutoRun-Funktion von USB-Massenspeichern, vor allem USB-Sticks, missbrauchen, um von einem infizierten Rechner aus andere Rechner zu erreichen – und lokale Netze, die gar nicht mit dem Internet verbunden sind. Diese USB-Würmer waren zeitweise eine wahre Plage, und auch heute gibt es noch viel zu viele davon, und vor allem zu viele erfolgreiche. Und das, obwohl Microsoft das Einfallstor AutoRun längst geschlossen hat. Denn irgendwann hat auch Microsoft erkannt, dass das so nicht mehr weitergehen kann und die Funktion von AutoRun nach und nach eingeschränkt, was die Entwickler der Schadsoftware nicht wirklich stört. Die müssen dann eben etwas mehr Aufwand betreiben und zusätzlich auf Social Engineering oder weitere Schwachstellen setzen. So verbreitete sich zum Beispiel Stuxnet über die so genannte Shortcut-Lücke, eine Schwachstelle beim Verarbeiten von LNK-Dateien. Es war damit unabhängig von der Funktion der AutoRun-Funktion [3].

Inzwischen hat Microsoft die AutoRun-Funktion im Grunde auf die AutoPlay-Funktion für CD/DVD zusammengeschrumpft, was einen Angriff theoretisch deutlich erschwert – sofern die Cyberkriminellen keine präparierte CD/DVD verbreiten und keine eigentlich harmlose CD/DVD einen AutoRun-Wurm enthält.

USB-Massenspeicher oder USB-CD-ROM?

Praktisch sieht das, wie immer, natürlich anders aus. Denn woran erkennt das Betriebssystem, dass es eine CD/DVD in einem über USB angeschlossenen CD/DVD-Laufwerk vor sich hat und nicht zum Beispiel einen USB-Stick? Daran, dass das USB-Gerät es ihm mitteilt. Dummerweise hat man beim Entwurf des USB-Standards nicht daran gedacht, dass Geräte ja auch mal lügen könnten. Und wenn ein USB-Device dem System meldet, es sei das CD-Laufwerk „Foobar128“ und gerade sei die CD „Harmlose Kinderspiele 3.14“ eingelegt...

Entwickler Magazin
Angriffe über USB

Unsicherer Serial Bus

Seitdem USB den PS/2-Anschluss für Tastatur und Maus verdrängt hat, haben sicherheitsbewusste Admins ein Problem: Sie können das potenzielle Einfallstor USB-Port nicht einfach lahm legen. Und der erlaubt mehr Angriffe, als die meisten Benutzer ahnen.

Carsten Eilers


Betrachten wir zuerst einmal die allgemein bekannten Angriffe über den USB-Port: USB-Würmer und die „Evil Maid“.

Der Wurm, der durch den USB-Port kam

Würmer verbreiten sich im Allgemeinen über Netzwerke, entweder direkt über ein Netzwerkprotokoll oder zum Beispiel per E-Mail. Irgendwo in einem Netzwerk losgelassen, befallen sie nach und nach alle anderen angreifbaren Rechner im gleichen Netz [1] – egal, ob es sich dabei um ein lokales Netz oder das gesamte Internet handelt. Insbesondere Conficker hat in diesem Zusammenhang von sich Reden gemacht, aber auch davor gab es etliche sehr erfolgreiche Würmer [2].

Ein Spezialfall sind die „USB-Würmer“, die sich nicht über eine Netzwerkverbindung verbreiten, sondern die AutoRun-Funktion von USB-Massenspeichern, vor allem USB-Sticks, missbrauchen, um von einem infizierten Rechner aus andere Rechner zu erreichen – und lokale Netze, die gar nicht mit dem Internet verbunden sind. Diese USB-Würmer waren zeitweise eine wahre Plage, und auch heute gibt es noch viel zu viele davon, und vor allem zu viele erfolgreiche. Und das, obwohl Microsoft das Einfallstor AutoRun längst geschlossen hat. Denn irgendwann hat auch Microsoft erkannt, dass das so nicht mehr weitergehen kann und die Funktion von AutoRun nach und nach eingeschränkt, was die Entwickler der Schadsoftware nicht wirklich stört. Die müssen dann eben etwas mehr Aufwand betreiben und zusätzlich auf Social Engineering oder weitere Schwachstellen setzen. So verbreitete sich zum Beispiel Stuxnet über die so genannte Shortcut-Lücke, eine Schwachstelle beim Verarbeiten von LNK-Dateien. Es war damit unabhängig von der Funktion der AutoRun-Funktion [3].

Inzwischen hat Microsoft die AutoRun-Funktion im Grunde auf die AutoPlay-Funktion für CD/DVD zusammengeschrumpft, was einen Angriff theoretisch deutlich erschwert – sofern die Cyberkriminellen keine präparierte CD/DVD verbreiten und keine eigentlich harmlose CD/DVD einen AutoRun-Wurm enthält.

USB-Massenspeicher oder USB-CD-ROM?

Praktisch sieht das, wie immer, natürlich anders aus. Denn woran erkennt das Betriebssystem, dass es eine CD/DVD in einem über USB angeschlossenen CD/DVD-Laufwerk vor sich hat und nicht zum Beispiel einen USB-Stick? Daran, dass das USB-Gerät es ihm mitteilt. Dummerweise hat man beim Entwurf des USB-Standards nicht daran gedacht, dass Geräte ja auch mal lügen könnten. Und wenn ein USB-Device dem System meldet, es sei das CD-Laufwerk „Foobar128“ und gerade sei die CD „Harmlose Kinderspiele 3.14“ eingelegt...

Neugierig geworden?


   
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang