Windows 10 S soll besonders sicher vor Ransomware und anderen Schadprogrammen sein. Ein Sicherheitsexperte machte den Test…
Matthew
Hickey,
ein amerikanischer Sicherheitsexperte, hat laut einem Bericht von
Zdnet
den Sicherheitsmechanismus von
Windows 10 S
ausgehebelt. Hickey wies damit nach, dass sich auf Rechnern mit Windows 10 S sehr wohl
Malware wie Ransomware
installieren lässt.
Microsoft wirbt vor allem mit dem Schutz vor Schadprogrammen für Windows 10 S. Da sich auf Windows-10-S-PCs nur Apps aus dem offiziellen Windows-10-App-Store installieren lassen. Und außerdem diverse Möglichkeiten des standardmäßigen Windows 10 deaktiviert sind. So können Sie unter Windows 10 S keine Kommandozeilen-Befehle eingeben, keine Kommandozeilen-Tools verwenden und auch nicht Powershell zum Skripten nutzen. Die Linux-Shell steht ebenfalls nicht zur Verfügung.
Hickey benötigte nach eigenen Angaben etwas mehr als drei Stunden um Vollzugriff auf den Windows-10-Rechner zu bekommen. Er nutzte die Makro-Funktion von Microsoft Word für sein Experiment. Word steht als App im Windows App Store zum Download für Windows 10 S bereit.
Hickey schrieb auf seinem eigenen Rechner, also nicht auf einem Windows-10-S-PC, ein Word-Dokument mit Makro-Code darin. Sobald man diese Word-Datei öffnet, lässt sich damit ein
Reflective DLL Injection Attacke
durchführen und Code in einem anderen existierenden Prozess einsetzen. In diesem Fall war es so, dass Hickey Word mit Administratorrechten durch den Windows Task Manager ausführen konnte. Die von Microsoft eingebauten Sicherheitsmechanismen, die das Ausführen von Makros verhindern sollen, konnte der Sicherheitsexperte umgehen, indem er die Word-Datei mit dem Makro von einem Netzwerk-Laufwerk herunterlud, das Windows als sicher einstufte. Schließlich musste er nur noch einen Warnhinweis wegklicken und die Makros aktivieren. Danach konnte der Makro-Code gestartet werden und Hickey bekam damit Zugriff auf eine Shell, in der er seine Befehle mit Administratorrechten ausführen konnte.
Jetzt konnte Hickey mit Metasploit ein Hacker-Tool herunterladen und auf dem Windows-S-Rechner ausführen, das Windows S mit seinem Command and Control Server verband. Von diesem Server aus konnte der Tüftler die Windows-10-S-Maschine aus der Ferne mit höchsten Systemrechten kontrollieren. Er hatte nun also vollen Remote-Zugriff auf den Windows-10-S-Rechner und konnte jetzt nach Belieben die Firewall oder den Virenscanner abschalten oder wichtige Windows-Systemdateien überschreiben. Und theoretisch auch Malware installieren, beispielsweise ein Erpresser-Tool (Ransomware) wie Locky. So weit ging Hickey dann aber nicht mehr.
Hickey betont, dass er für seinen erfolgreichen Angriff auf Windows 10 S keine unbekannte Sicherheitslücke ausgenutzt habe. Allerdings setzt der erfolgreiche Angriff physischen Zugriff auf den PC voraus.
Zdnet informierte Microsoft von dem Angriff. Die Redmonder Softwareschmiede versucht Hickeys Hackerattacke die Brisanz zu nehmen: „Anfang Juni sagten wir, dass Windows 10 S unangreifbar für alle bekannten Ransomware-Varianten ist…Das gilt immer noch“. Microsoft würde alle neuen Gefahren genau beobachten und mit Sicherheitsexperten zusammenarbeiten, um Windows 10 auch weiterhin möglichst sicher zu machen, heißt es sinngemäß.
Advanced Windows Service Manager Advanced Windows Service Manager untersucht verdächtige Dienste. So können Sie Rootkits, Viren und andere Schadsoftware identifizieren und beenden. Nicht nur Windows-eigene Komponenten werden als Dienste im Hintergrund ausgeführt. Gerätetreiber, Virenwächter, Server-Prozesse und zunehmend auch Malware installieren sich als Dienst. Verdächtige Dienste lassen sich über das Kontextmenü der rechten Maustaste stoppen. Außerdem kann man die Dateien online bei Virustotal untersuchen lassen oder bei Google nach Infos dazu suchen.
Download: Advanced Windows Service Manager zur Bildergalerie-Großansicht