Interne API Funktionen beenden Dienste ohne Nachfrage

Windows Das Betriebssystem Windows bietet immer wieder neue überraschende Zugriffs- und Manipulationsmöglichkeiten, die für fortgesetzte Angriffe aus dem Netz benutzt werden können, wie das aktuelle Beispiel auf insecure.org zeigt.

In diesem Fall wurde die interne Windows API Funktion "PostThreadMessage" näher unter die Lupe genommen, mit dem Ergebnis, dass eine Nachricht in die Nachrichten-Warteschlange (Message Queue) eines betroffenen Threads gestellt wird und der Rücksprung erfolgt, ohne auf die Verarbeitung der Nachricht abzuwarten.

Die Funktion schlägt fehl, wenn der angegebene Thread keine Nachrichten-Warteschlange hat. Das System erstellt dann die Nachrichten-Warteschlange des Threads, wenn der Thread seinen ersten Anruf zu einer Win32 USER- oder GDI Funktion ausführt.

Im Beispielfall wurde das Verhalten auf einer Sicherheitsebene des Systems getestet, die eine WM_QUIT Nachricht erlaubt und was die Beendigung eines Prozesses ermöglicht.

Der Aufruf von WM_QUIT initiiert eine Nachricht, die betroffene Anwendung zu beenden, wenn diese aus der Nachrichten-Warteschlange die Funktion "PostQuitMessage" aufruft. Diese Nachricht hat keinen Rückgabewert, weil sie bewirkt, daß die Nachrichtenschleife endet, bevor die Nachricht an den Prozess des Anwendungsfensters gesandt wird.

Ähnliche Resultate können in einigen Fällen auch erzielt werden durch die Verwendung der API Funktionen "WM_DESTROY" oder "WM_CLOSE".

Für den praktischen Test wurde ein Firewallsystem benutzt, der als Dienst läuft und vor der Beendigung die Eingabe eines Passworts erfordert. Hier konnte mit der Verwendung der API Funktion "Appshutdown" der Firewall-Service sowie weitere Windows-Dienste kommentarlos beendet werden.

Das Beispiel zeigt eine der größten Schwächen, die Anwendungen und insbesondere Schutzsysteme haben, die auf dem gleichen System und insbesondere einem Windows-System ausgeführt werden. Der Schutz wirkt nur so lange, bis ein geeigneter Schädling einen API-Call ausführt, der zu unerwarteten Systemereignissen führt, die so nicht von der Entwicklung des Schutzsystems berücksichtigt wurden bzw. nicht berücksichtigt werden konnten, weil ein Windows-System hierfür zu viele Schlupflöcher bietet.

Ein erfahrener Entwickler von Firewallsystemen beendete zum Beispiel eine Diskussion über die Sicherheit von Desktop-Firewallsystemen mit den Worten: "Es kann mehrere Menschenleben allein kosten, sämtliche Schwächen und Sicherheitslücken eines Windows-Systems zu berücksichtigen und zu beseitigen".

Eine praktikable Lösung ist aus dieser Sicht betrachtet stets die Kombination aus leistungsfähigem Firewallsystem und Virenscanner mit Echtzeitschutz, der zumindest den Mainstream aktueller Schädlinge sicher erkennt und beseitigen kann. Im besten Fall enthält ein solches Firewallsystem in Intrusion-Detection Modul, mit dem Systeme auch auf Ereignisse und insbesondere unerwartete Ereignisse überwacht werden und diese vor der Ausführung gestoppt werden können. Als ein Beispiel wäre hier Tiny Personal Firewall ab Version 4.5 zu nennen.

Den sichersten Schutz bietet nach wie vor die Absicherung über ein Hardware-System, wie es zum Beispiel vom kostengünstigen TrendMicro GateLock X200 angeboten wird, einer "All in One" Schutzlösung bestehend aus DSL Router, Firewall mit "Stateful Inspection" Technologie und Virenscanner.

Weitere Informationen hierzu:

  • insecure.org
  • Tinysoftware
  • TrendMicro Gatelock

    Quelle: Perigor via Firewallinfo.de
  • Diese Nachricht empfehlen
    Kommentieren13
    Jetzt einen Kommentar schreiben


    Alle Kommentare zu dieser News anzeigen
    Kommentar abgeben Netiquette beachten!

    Jetzt als Amazon Blitzangebot

    Ab 19:35 Uhr Synology DS716+II/2TB-RED NAS-System
    Synology DS716+II/2TB-RED NAS-System
    Original Amazon-Preis
    627,36
    Im Preisvergleich ab
    502,00
    Blitzangebot-Preis
    503,20
    Ersparnis zu Amazon 20% oder 124,16

    Video-Empfehlungen

    WinFuture Mobil

    WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
    Nachrichten und Kommentare auf
    dem Smartphone lesen.

    Folgt uns auf Twitter

    WinFuture bei Twitter

    Interessante Artikel & Testberichte

    Tipp einsenden