Windows 7: 'VBootKit' lässt Angreifer den PC kapern

Windows 7 Die Sicherheitsspezialisten Vipin Kumar und Nitin Kumar haben anlässlich der Hack In The Box Sicherheitskonferenz Proof-of-Concept-Code gezeigt, der es ihnen ermöglicht, die Kontrolle über eine Virtual Machine mit Windows 7 während ihres Starts zu ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wie geil...funktioniert nur bei VMs, nur mit physischem Zugriff, verliert nach Reboot die Funktion, um alles kurz zusammen zu fassen...von Angriff kann man da kaum sprechen...
 
@bluefisch200: naja ein erster ansatz für die guten alten mbr viren.
 
@bluefisch200: Völliger Blödsinn... Das ist genauso als würde ich von ner Sicherheitslücke sprechen bei Autos die alleine in der Prärie rumstehen und wo die Tür offen steht und der Motor an ist... dann ist es voll leicht die Kontrolle über das Autos zu gewinnen...
 
@Magguz: Also als leicht würde ich deren Ansatz nicht sehen. Da steht ausdrücklich, das ist ein Proof of Concept, um zu zeigen, dass Startprozesse nicht sicher sind. Dieser Ansatz könnte benutzt werden, um "richtige" Angriffe zu Entwickeln
 
@Grayson: Natürlich ist das nicht leicht, genauso wenig wie mein Beispiel alltäglich mal vorkommt...
 
@bluefisch200: " Laut Kumar ist diese Sicherheitslücke nicht zu beheben, sie sein ein Designfehler." steht auf tecchannel.de und ich bin gespannt wie ms das behebt.
 
@OSLin: Daran bin ich auch interessiert...aber die werdens schon irgendwie schaffen...so dringend ist es nicht, da sie so gut wie nicht genutzt werden kann...
 
@bluefisch200: Nun, nehmen wir mal an, irgendjemand hat Serverfarmen mit server 2k8, bei denen das ja auch klappen sollte, die alle als VM laufen. Einmal heimlich eingespielt, durch die höheren Rechte einige Optionen verändern, z.B. einen neuen Remote-Administrator hinzufügen, veränderte IP-Adressen für Terminal-Zugriff... lassen sich bestimmt noch genügend Punkte finden und voila, schon kann man von einem Angriff ausgehen. Dann ist der Reboot irrelevant. Was konkret möglich ist, müsste man sich natürlich näher mit beschäftigen.
 
@wilnosg: Trotzdem musst du noch an die Server ran, also echt davor stehen...und wärend des Bootens den Angriff starten...irgendwie sinnlos nicht? Zudem wird dir die UAC noch in vielen Bereichen einen Schnitt durch die Rechnung machen...
 
"Dennoch stellt der Ansatz nicht unbedingt eine ernste Gefahr dar, da eine Attacke nicht über das Internet möglich ist" Das will ja nix heißen. Conficker konnte sich auch wunderbar über USB Sticks verbreiten.
 
@ThreeM: Das Zeugs hier aber nicht, da muss du tatkräftig mithelfen...
 
@ThreeM: Nur das der Conficker auch bleibt! wär zwar schön wenn der beim nächsten reboot weg wäre aber das macht er nicht... Vorallem funzt der Conficker auch in nicht VM umgebung...
 
@bluefisch200: nochmal, in der version 2.0 ist das so - ja - mit folgenden versionen wird daraus wieder was ganz anderes ...
 
@Iceweasel: Gib mir nen Ansatz...man müsste sich im Betrieb in den MBR schreiben...dies geht aber dank UAC nicht...
 
@Iceweasel: und das weißt du woher?
 
@Magguz: in welchem jahr lebst du wo alles auf einer version eingestellt wird? du glaubst doch nicht ernsthaft, das die etwas herausgefunden haben und jetzt nichts mehr tuen? die ergebnisse werden jetzt für weitere versionen benutzt und weiterentwickelt ...
 
@Iceweasel: aso... deine Vermutungen... ok akzeptiert nur wirds von mir nicht ernst genommen... weißt du wie es funktioniert und ob es überhaupt anders geht? nein? wusst ich doch...
 
Ich würde mal sagen, dass so in etwa der Bundestrojaner funktionieren könnte :).
 
@BoOm: Das ist eher unwahrscheinlich, denn dann müsste die Polizei sich ja immer erst als "Einbrecher" betätigen.
 
@drhook:

Hatten die das denn mal nicht vor? Zumind. mag ich mich an sowas erinnern. Und im Grunde geht es ja nur um Theorie und nicht darum was wirklich machbar ist.
 
@BoOm: Kann er ganz sicher nicht, da dieser Angriff bei Neustart nicht mehr funktioniert. Der Bundestrojaner funktioniert nur insofern ähnlich, dass auch dort die Installation vor Ort, also mit Zugriff auf die Konsole notwendig ist. Trojaner ist doch eigentlich das falsche Wort für so etwas - du bekommst ja nicht mit das du etwas geladen hast, in dem sich wie bei einem Trojaner etwas "versteckt" hat.
 
@drhook: Genau das ist der Kernpunkt bei der Geschichte mit dem Bundestrojaner - sie kommen zu dir nach hause und installieren es vor ort. Anders funktioniert das garnicht.
 
@joschibaer: Da wäre ich nicht so sicher, die haben bestimmt so einen Bundestrojaner (Baukastensystem) der sich online plazieren lässt. Aber nehmen wir mal an die Polizei müsste immer wirklich als "Einbrecher" kommen, dann müssten die bei mir aber öfter vorbeikommen, da ich einen Rechner habe der niemals mit dem Internet verbunden wird. Da der Trojaner dann keine "Ergebnisse" los wird, müssten die wohl irgendwie durch weitere "Einbrüche" abgeholt werden.
 
Es gibt eigentlich eine ganz einfache Regel: wenn jemand physikalischen Zugriff auch ein System hat, ist es fast immer möglich Kontrolle über eben dieses zu erlangen. Schwierig wird es nur, wenn eine Festplatte komplett mit BitLocker verschlüsselt ist, und der Schlüssel zum Zugriff auf einer Smartcard gespeichert ist (und die Smartcard nicht verfügbar ist).
 
Ich würde nicht sagen, dass dieses "BootKit" eine Gefahr an sich darstellt... Jedoch verschafft es entsprechenden Programmen die Möglichkeit, zumindest insoweit die Kontrolle über ein System zu gewinnen, sodas weitere Schadsoftware eingespielt werden kann, die dann die Kontrolle im laufenden Betrieb übernimmt. Von daher ist diese Schwachstelle doch schon ziemlich bedenklich und sollte behoben werden.
 
@Taxidriver05:
was hier anscheinend so einige nicht verstehen :-)

das oben ist ein POC ... mit 5 Zeilen Code schreibt man ein Program, was dann diesen Code immer wieder in den Speicher lädt. Damit wäre dann auch der Angriff über das Internet perfekt, da man die Datei ablegt, und den PC vllt bissel prepariert.
 
@d13b3l5: nur nützt dir das nichts da Vista und 7 bei jedem Neustart wieder den Ram in zufällige Adressbereiche laden...ein genauer Angriff ist deshalb unmöglich...zudem muss die exe mit Adminrechten geladen werden um in die entsprechende Bereiche zu schreiben. Weiter hat Windows Vista eine Technology eingeführt welche ein solches Verhalten einer Applikation(so wie du es beschreibst) bemerkt, den entsprechenden Speicherbereich abschirmt und blockiert...sooo einfach ist das nicht...die Möglichkeit wie es oben beschrieben ist, dies wärend des BOOTENS zu vollziehen geht...also ist ein Angriff übers Web nicht möglich, nur wenn das System bootet...
 
Achso, wenn das so harmlos ist, wie du das sagst frage ich mich warum das die Experten überhaupt so dringlich sagen.
Ich klaube eher das dich das beist, das sich Vista doch als ne nummer besser entpuppt als das Win7 das eh ja schonwieder veraltet ist, da es ja schonwieder gleich win8 gibt
 
@Tobifa: 1. Deutsch kann man lernen 2. Hä?
 
@Tobifa: Win8 kommt nach Windows Sieben, nachdem dann 3 Jahre vergangen sind. Warum sollte Vista besser sein als Win7? Verstehe deinen zusammenhang nicht und wen wolltest du überhaupt anschreiben?
 
Kaum ist das neue Windows 7 draußen, schon wieder kann man das System hacken.
Schade!
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles