Schwachstellen

Wie Hacker eine Schwachstelle in Microsofts neuem Dateiformat ausnutzen

Wie Hacker eine Schwachstelle in Microsofts neuem Dateiformat ausnutzen

SettingContent-ms birgt Schwachstelle

Mit Windows 10 hat Microsoft den neuen Dateityp "SettingContent-ms" eingeführt. SettingContent ist eine Funktion, die eine Verknüpfung zu vielen verschiedenen Systemeinstellungen ermöglicht und Nutzern so einen schnellen Zugriff auf bestimmte Einstellungen bietet. Mit dem neuen Format hat Microsoft aber auch eine neue Schwachstelle in Windows 10 eingebaut, denn SettingContent lässt sich von Hackern zum Einschleusen von Malware nutzen.

Windows 10 zeigt – im Unterschied zu anderen heruntergeladenen Dateien – bei Dateien im XML-basierten SettingContent-ms-Format keine Security Warnung an. Normalweise sehen Anwender hier eine Meldung, die abfragt, ob die Datei ausgeführt werden soll. Die Datei wird nach einem Klick also sofort geöffnet. Zusätzlich können mit SettingContent auch Shell-Befehle und Programme ausgeführt werden.

Microsoft hat zwar mittlerweile über ein Update dafür gesorgt, dass Office 365 SettingContent innerhalb eines OLE-Pakets blockieren kann – Grund für eine Entwarnung gibt es trotzdem nicht.

Cyberkriminelle habe eine andere Möglichkeit gefunden, schädlichen Code über das SettingContent-Format zu verbreiten. Die grundsätzliche Technik bleibt dabei gleich, nur wird der schädliche Code nun in PDF-Dateien eingebettet.

Die IT-Security Forscher von Trustwave sind auf PDF-Dokumente mit eingebettetem SettingContent-ms gestoßen, die über Spam-Mails verbreitet wurden. Das in den Mails angehängte PDF ist in diesen Mails so benannt – zum Beispiel als "Rechnung.pdf" -, dass unbedarfte Nutzer dazu verleitet werden, den Anhang zu öffnen.

Die Malware-Analyse von Trustwave zeigt, dass nach dem Ausführen des PDF-Anhangs ein eingebettetes JavaScript-Objekt ausgeführt wird. Acrobat zeigt daraufhin eine Sicherheitswarnung an, die darüber informiert, dass "downl.SettingContent-ms" gerade geöffnet werden soll. Sobald der Nutzer damit einverstanden ist, wird das Objekt im Temp-Ordner gespeichert und ausgeführt. Danach löscht Acrobat das Objekt vom System.

Das Objekt "downl.SettingContent-ms" ist eine XML-Datei, die vom System als SettingContent-Datei erkannt wird. Es enthält ein DeepLink-Element, das beliebigen Code innerhalb des -Tags ausführt. In diesem Fall ruft der Code PowerShell auf, um automatisch eine Binärdatei ins System zu laden und diese als "%temp%\update12.exe" auszuführen.

Die Datei "%temp%\update12.exe" stellt eine Verbindung zu hxxp://169.239.128.164/sd87f67ds5gs7d5fs7df her, ruft hier ein verschlüsseltes BLOB (Binary Large Object) ab, also ein großes binäres Datenobjekt und entschlüsselt es als "%programdata%\Microsoft Help\wsus.exe". Abschließend wird nun der Trojaner FlawedAmmyy Version 3 ausgeführt.

FlawedAmmyy ist ein Remote-Access-Trojaner mit folgenden Funktionen:

  • Bildschirm anzeigen
  • Remote Control
  • Dateimanager
  • Audio-Chat
  • RDP-Sitzungen (Remote-Desktop-Control), d.h. Fernzugriff auf Windows-Computer

Außerdem kann der FlawedAmmyy-Trojaner auch Systeminformationen abrufen und an den C&C-Server (Command an Control Server) senden.

Fazit

Die Untersuchungen von Trustwave zeigen, dass die ausnutzbare Komponente von SettingContent, also das DeepLink-Element, das ohne Warnung ausgeführt wird, von Cyberkriminellen weiterhin genutzt wird. Da der Missbrauch von SettingContent von Microsoft behoben wurde, suchen Malware-Autoren nach eine anderen Möglichkeit, bösartigen Code über dieses Dateiformat zu übermitteln. Im Moment wird dafür das PDF-Format verwendet.