110294

Hacker missbrauchen Windows-Update-Downloader

11.05.2007 | 11:14 Uhr |

Symantec hat herausgefunden, dass Angreifer immer häufiger eine bereits in Windows integrierte Download-Funktion nutzen, um ihre Schädlinge, die ein System bereits befallen haben, zu aktualisieren. Dazu missbrauchen die Angreifer einfach BITS, welches eigentlich für Windows Update den Download von Updates erledigen soll.

Angreifer nutzen vermehrt die Datei-Transfer-Komponente von Windows Update, um schädlichen Code an der Firewall vorbei zu schmuggeln. Darauf haben die Sicherheitsexperten von Symantec jetzt aufmerksam gemacht.

Konkret wird von den Angreifern die Windows-Komponente Background Intelligent Transfer Service (BITS) genutzt, die eigentlich für den Download von Updates über Windows Update zuständig ist. BITS feierte seine Premiere in Windows XP und ist außerdem auch in Windows Vista und Windows Server 2003 enthalten. Der asynchrone Datei-Transfer-Dienst lädt Patches im Hintergrund herunter und fährt die Downloadgeschwindigkeit automatisch herunter, sobald der Anwender die Bandbreite für andere Dinge benötigt. Der Dienst ist außerdem in der Lage, abgebrochene Downloads fortzuführen.

Damit ist BITS eigentlich eine nützliche Komponente, die auch per COM API programmiert werden kann. Genau diesen Umstand nutzen aber laut Angaben von Symantec in letzter Zeit Angreifer aus. Hat eine Schadsoftware bereits einen Rechner befallen, dann nutzt sie BITS dafür, um ihren Code zu aktualisieren. Die Angreifer wissen nämlich, dass BITS auf den angegriffenen Windows-Rechnern enthalten ist und die über BITS getätigten Downloads vom System als vertrauenswürdig erachtet und von der lokalen Firewall nicht geblockt werden.

Erste Hinweise darauf, dass Hacker den BITS für ihre Zwecke missbrauchen wollen, entdeckte Symantec vor einem Jahr in einem einschlägigen russischen Forum. Im März dieses Jahres tauchte dann das erste trojanische Pferd auf, das BITS für seine Aktualisierung nutzt.

Oliver Friedrichs, Director von Symantec's security response group, betont allerdings, dass von Windows Update selbst keine Gefahr ausgeht. „Es gibt keine Hinweise darauf, die vermuten lassen, dass Windows Update kompromittiert werden kann. Wenn es eine Schwäche hätte, dann hätte sie jemand bereits gefunden“, so Friedrichs.

Die Nutzung von BITS durch die Angreifer zeige aber, so Friedrichs, dass schädliche Software immer häufiger modular aufgebaut wird und damit dem allgemeinen Trend der Software-Entwicklung folgt. Statt also dem Schädling eine eigene Download-Routine zu spendieren, wird einfach der bereits bestehende Code verwendet und der Angreifer spart Entwicklungszeit.

Symantec empfiehlt Microsoft Änderungen an BITS vorzunehmen. So könnte beispielsweise BITS so geändert werden, dass nur noch Downloads von vertrauenswürdigen Adressen gestattet sind oder das die Nutzung von BITS höhere Benutzerrechte erfordert.

0 Kommentare zu diesem Artikel
110294