Demo: RTLO-Angriff auf Windows führt auch aufmerksame Nutzer hinters Licht

SemperVideo, Dateien, Explorer, Windows Explorer, Datei Explorer, Dateitypen SemperVideo, Dateien, Explorer, Windows Explorer, Datei Explorer, Dateitypen
Die meisten Nutzer fühlen sich relativ sicher, wenn sie bei einer Datei anhand der Endung überprüfen, ob es sich tatsächlich um den Dateitypen handelt, den das Icon suggeriert. Allerdings kann man sich hier nicht auf die Darstellung des Dateinamens im Windows-Explorer verlassen, da dieser über einen relativ einfachen Weg ausgetrickst werden kann. Wie das geht, zeigt unser Kollege von SemperVideo in seinem Demo-Video.

In der Vergangenheit wurde Nutzern immer wieder empfohlen, das Ausblenden von Dateiendungen im Windows-Explorer zu deaktivieren. Denn Angreifer schicken immer wieder Malware per E-Mail oder andere Kanäle, bei der die angehängte Datei vorgab, ein harmloses Bild, Dokument oder Archiv zu sein, in Wirklichkeit aber ein ausführbares Programm mit Schadroutinen ist. Anhand der eingeblendeten Dateiendung sollte dies erkennbar sein.

Das ist es in vielen Fällen auch, doch verlassen sollte man sich darauf nicht. Denn über den so genannten Right-to-Left Override (RTLO)-Angriff, kann unter Windows noch besser ein harmloser File-Typ simuliert werden, als nur mit dem jeweiligen Icon. Ermöglicht wird dies durch die Eigenheit des Explorers, Unicode-Zeichen ohne Weiteres zu akzeptieren und ihre Sondereigenschaften umzusetzen.

Das heimtückische U+202E

So sorgt beispielsweise der Unicode-Character U+202E dafür, dass in einem String alle nachfolgenden Zeichen in umgekehrter Reihenfolge - also Right-to-Left, von rechts nach links - dargestellt werden. Kurzerhand können Dateinamen von ausführbaren Files im Explorer so dargestellt werden, dass auch die vermutliche Endung keinen Hinweis mehr darauf liefert, womit der Anwender es hier zu tun hat. Als vielsagendes Beispiel dient im Video die Zeichenfolge "sexy-hfdp.exe" als eigentlicher Name der ausführbaren Datei. Fügt man nun in der Mitte des Strings den U+202E-Character ein, stellt der Explorer den Namen als "sexy-hexe.pdf" dar. Verbunden mit dem passenden Icon kann ein Angreifer hier viel sicherer damit rechnen, auch halbwegs vorsichtige Nutzer hinters Licht zu führen.

Daher genügt es nicht, bei einer empfangenen Datei schlicht auf die Endung zu achten, bevor sie geöffnet wird. Was sich wirklich hinter dem File verbirgt, zeigt sich erst, wenn die Eigenschaften der Datei mit angezeigt werden. Hier informiert der Explorer dann korrekt, dass es sich um eine Anwendung handelt. Den korrekten Dateinamen ohne das ausgeführte Unicode-Zeichen erfährt man auch in der Eingabeaufforderung. Den besten Schutz erhält man natürlich, wenn grundsätzlich keine zugesandten Dateien aus unsicherer Quelle geöffnet werden. Doch was eine nicht vertrauenswürdige Quelle ist, kann sich eben auch stark unterscheiden. Nicht immer haben nur namenlose Kriminelle ein Interesse daran, einem Nutzer Schadcode unterzuschieben - manchmal sind es schlicht auch Kollegen oder vermeintliche Freunde.

Empfehlung: AV-Test: Das sind die Testsieger unter den Sicherheits-Produkten

Download
Trend Micro Internet Security 2015
Download
Kaspersky Internet Security 2015
Download
Avira Free Antivirus 2014
Dieses Video empfehlen
Kommentieren14
Jetzt einen Kommentar schreiben
 
Also muss man zusätzlich noch darauf achten, ob exe vor dem Punkt steht ;)
 
@Wuusah: oder einfach grundsätzlich nicht einfach irgendwelche dateien von irgendwelchen leuten öffnen?
 
@baeri: Wäre zu einfach. ;)

Im Explorer (oder Third-PartySoftware) wird die Datei dennoch als Anwendung deklariert und angezeigt. In meinem Email-Client wird der Dateiname ohne diese Verdrehung angezeigt. Über die Webseiten meiner Email-Postfächer ebenfalls.
Also man muss zumindest bereits vorher schon geträumt haben, wenn sich diese Datei auf dem system befindet.
 
@crmsnrzl: was für nen email client hast du? ... weder gmail.com, outlook.com noch MS Outlook nehmen exe überhaupt an ^^
 
@baeri: Das tut meiner auch nicht. Ich schrieb ja "In meinem Email-Client wird der Dateiname ohne diese Verdrehung angezeigt."
Getestet hab ich es mit einer Textdatei.
Aber .exe ist ja auch nicht die einzige ausführbare Endung.

Geht das eigentlich hier in den Kommentaren? Test:
ohne: htxt.exe
mit: h‮txt.exe

Beim Kommentar schreiben ja, beim anzeigen anschließend nicht mehr :)
 
@crmsnrzl: anwendungen koennen aber beliebige icons haben und in der listenansicht stehts nur unten in der infoleiste.
 
@Wuusah: nein, vor dem punkt kann auch rcs stehen, hatte letzens bei einem bekannen so ein tricky teil entdeckt: "name rcs.zip" nannte sich die datei, die richtig bezeichnung war also "name<U+202E>piz.scr". beim aufrufen kam dann natuerlich ein dialog ob man den screensaver wirklich starten will, aber viele windows user druecken ja bei jedem mist einfach auf weiter...
 
Frage mich was Microsoft sich dabei denkt sowas in Dateinamen zu implementieren. Bei allen anderen OSen gibt's so einen Unsinn nicht...
 
deshalb zeigen gescheite Dateimanager die Dateiendung getrennt vom Dateinamen an. Wie beispielsweise der TotalCommander
 
@MoKeiichi: Ich glaube in DirectoryOpus geht das auch, bin mir aber gerade nicht sicher.

Edit: So eben getestet und man kann es auch in DO extra anzeigen lassen :-)
 
@MoKeiichi: Im <ironie>krassen Gegensatz</ironie> dazu zeigt der Explorer die Dateiendung in einer separaten Spalte an und schreibt in die Infozeile am Fuß nochmal, rein was es für eine Datei ist.

Wer die Detailansicht beim Explorer nicht will der nimmt auch nicht die Detailansicht im Totalcommander.
 
kann das sein, dass das mit der Dateiendung und Unicode RTL schon ein ziemlich alter Hut ist?
 
Ist ja zum Glück nur optischer Natur und ein aktueller Virenscanner erkennt sie trotzdem als EXE.
 
Hm. Und inwiefern ist das von Belang, wenn man als umsichtiger Anwender ohnehin keine Anhänge öffnet, egal von welchem Absender sie stammen, die man nicht explizit angefordert hat? Für alle anderen Computerlegastheniker muß man nicht solch einen Firlefanz veranstalten, die klicken doch eh auf alles was nich bei 3 auf'm Baum ist...
Kommentar abgeben Netiquette beachten!