137084

USB-Treiber: Experten warnen vor Sicherheitslücke

25.07.2005 | 15:57 Uhr |

Brauchen Angreifer nur einen präparierten USB-Stick, um an Daten eines Rechners zu gelangen? Davor warnen jedenfalls die Sicherheitsexperten von SPI Dynamics. Sie haben Sicherheitslücken in den Standard-USB-Treibern entdeckt, die unter anderem in Windows verwendet werden.

Auf Sicherheitslöcher in den USB-Treibern machen die Sicherheitsexperten von SPI Dynamics aufmerksam. Angreifer könnten dadurch Zugriff auf einen gesperrten Windows-Rechner erhalten, indem sie einfach nur einen speziell präparierten USB-Speicherträger an den Rechner anschließen.

Durch einen Buffer-Overflow könnten dann die Sicherheitseinstellungen von Windows übergangen und der Angreifer Administratorrechte erhalten. Die Kompromittierung des Systems erfolge, sobald der Angreifer den Stick anstöpselt und das System die für den Zugriff notwendigen Treiber lädt. Durch die Daten auf dem Stick, die beim Anschließen übertragen werden, würde die Sicherheitsanfälligkeit in den Treibern ausgenutzt.

SPI Dynamics hat unter Windows XP und Windows 2000 die Sicherheitsanfälligkeit entdeckt. Microsoft sei noch nicht informiert worden, weil die Lücke noch überprüft werde. Details zu der Lücke sollen vorerst nicht publik gemacht werden. Als Beispiel wird ein speziell programmierter USB-Stick genannt, der beim Anschließen an den PC sofort und ohne Zusatzsoftware alle Dateien auf den Stick überträgt, die kürzlich bearbeitet worden sind. Das setzt natürlich voraus, dass der betreffende (Firmen-)Rechner über einen USB-Anschluss verfügt.

Laut SPI soll nicht nur Windows betroffen sein. Alle Systeme, bei denen die von der "USB Implementers Forums" entwickelten Standard-USB-Treiber verwendet werden, seien betroffen. Die Non-Profit-Organisation habe, so SPI, bei der Entwicklung der Treiber nicht genügend das Thema Sicherheit bedacht. Zum Einsatz kämen in den Treibern nur wenige Methoden der Daten-Validierung und Sicherheitsabfragen. Bei der Entwicklung der Treiber habe eher Geschwindigkeit im Vordergrund gestanden.

Computerkriminalität: Tatwaffe MP3-Player (PC-WELT Online, 30.06.2005)

0 Kommentare zu diesem Artikel
137084