Interne API Funktionen beenden Dienste ohne Nachfrage

Das Betriebssystem Windows bietet immer wieder neue überraschende Zugriffs- und Manipulationsmöglichkeiten, die für fortgesetzte Angriffe aus dem Netz benutzt werden können, wie das aktuelle Beispiel auf insecure.org zeigt.

In diesem Fall wurde die interne Windows API Funktion "PostThreadMessage" näher unter die Lupe genommen, mit dem Ergebnis, dass eine Nachricht in die Nachrichten-Warteschlange (Message Queue) eines betroffenen Threads gestellt wird und der Rücksprung erfolgt, ohne auf die Verarbeitung der Nachricht abzuwarten.

Die Funktion schlägt fehl, wenn der angegebene Thread keine Nachrichten-Warteschlange hat. Das System erstellt dann die Nachrichten-Warteschlange des Threads, wenn der Thread seinen ersten Anruf zu einer Win32 USER- oder GDI Funktion ausführt.

Im Beispielfall wurde das Verhalten auf einer Sicherheitsebene des Systems getestet, die eine WM_QUIT Nachricht erlaubt und was die Beendigung eines Prozesses ermöglicht.

Der Aufruf von WM_QUIT initiiert eine Nachricht, die betroffene Anwendung zu beenden, wenn diese aus der Nachrichten-Warteschlange die Funktion "PostQuitMessage" aufruft. Diese Nachricht hat keinen Rückgabewert, weil sie bewirkt, daß die Nachrichtenschleife endet, bevor die Nachricht an den Prozess des Anwendungsfensters gesandt wird.

Ähnliche Resultate können in einigen Fällen auch erzielt werden durch die Verwendung der API Funktionen "WM_DESTROY" oder "WM_CLOSE".

Für den praktischen Test wurde ein Firewallsystem benutzt, der als Dienst läuft und vor der Beendigung die Eingabe eines Passworts erfordert. Hier konnte mit der Verwendung der API Funktion "Appshutdown" der Firewall-Service sowie weitere Windows-Dienste kommentarlos beendet werden.

Das Beispiel zeigt eine der größten Schwächen, die Anwendungen und insbesondere Schutzsysteme haben, die auf dem gleichen System und insbesondere einem Windows-System ausgeführt werden. Der Schutz wirkt nur so lange, bis ein geeigneter Schädling einen API-Call ausführt, der zu unerwarteten Systemereignissen führt, die so nicht von der Entwicklung des Schutzsystems berücksichtigt wurden bzw. nicht berücksichtigt werden konnten, weil ein Windows-System hierfür zu viele Schlupflöcher bietet.

Ein erfahrener Entwickler von Firewallsystemen beendete zum Beispiel eine Diskussion über die Sicherheit von Desktop-Firewallsystemen mit den Worten: "Es kann mehrere Menschenleben allein kosten, sämtliche Schwächen und Sicherheitslücken eines Windows-Systems zu berücksichtigen und zu beseitigen".

Eine praktikable Lösung ist aus dieser Sicht betrachtet stets die Kombination aus leistungsfähigem Firewallsystem und Virenscanner mit Echtzeitschutz, der zumindest den Mainstream aktueller Schädlinge sicher erkennt und beseitigen kann. Im besten Fall enthält ein solches Firewallsystem in Intrusion-Detection Modul, mit dem Systeme auch auf Ereignisse und insbesondere unerwartete Ereignisse überwacht werden und diese vor der Ausführung gestoppt werden können. Als ein Beispiel wäre hier Tiny Personal Firewall ab Version 4.5 zu nennen.

Den sichersten Schutz bietet nach wie vor die Absicherung über ein Hardware-System, wie es zum Beispiel vom kostengünstigen TrendMicro GateLock X200 angeboten wird, einer "All in One" Schutzlösung bestehend aus DSL Router, Firewall mit "Stateful Inspection" Technologie und Virenscanner.

Weitere Informationen hierzu: