Windows-DRM hebelt Anonymisierungs-Netze im Handumdrehen aus

Wer seine Identität durch die Nutzung von Anonymisierungs-Netzwerken wie Tor oder durch VPNs verschleiern will, sollte es vermeiden, Multimedia-Dateien zu öffnen, die mit dem von Windows bereitgestellten DRM-System geschützt sind. Denn über dieses lässt sich der Schutz ziemlich einfach aushebeln.

Altbekannt ist die Möglichkeit, das DRM-System einzusetzen, um Malware zu verbreiten. Allerdings bedarf dies eines wenig aufmerksamen Nutzers. Die bekannten Angriffe dieser Art liefen so ab, dass der Anwender nach dem Öffnen einer Musik- oder Video-Datei aufgefordert wurde, den Besuch einer vermeintlichen Authentifizierungs-URL zu erlauben. Der Weg führte dann oft auf Webseiten, in die Schadcode eingebettet war - und da für den Besuch in der Regel standardmäßig der Internet Explorer genutzt wurde, konnte recht gut eingegrenzt werden, mit welchen Exploits man erfolgreich sein kann.

Angriff kostet Geld

Die britischen Sicherheitsforscher von My Hacker House wiesen jetzt aber auf eine weitergehende Angriffs-Option hin. Hier geht es um die Tatsache, dass lediglich dann nach einer Erlaubnis zum Öffnen des Links gefragt wird, wenn die DRM-geschützte Datei nicht ordentlich signiert ist. Signiert der Angreifer den DRM-Schutz hingegen mit den dafür vorgesehenen Microsoft-Tools Windows Media Encoder oder Microsoft Expression Encoder, fällt die Abfrage weg und beim Öffnen der Datei wird die Verbindung direkt aufgebaut.

Selbst Nutzer, die dann bei aktiviertem Anonymisierungs-System darauf achten, nicht fahrlässig zu handeln, wären so schnell enttarnt. Das Glück im Unglück liegt hier darin, dass eine solche Attacke nicht gerade billig ist. Denn die Lizenzkosten für die fraglichen Werkzeuge inklusive der Option für entsprechende Signaturen sind nicht gerade preiswert - hier können schnell um die zehntausend Dollar zusammenkommen.

Insofern ist nicht damit zu rechnen, dass der kleine Wald-und-Wiesen-Malware-Autor das Verfahren einsetzt. Wahrscheinlicher ist dies hingegen, wenn es beispielsweise staatlichen Akteuren wie Strafverfolgungsbehörden oder Geheimdiensten darum geht, einen Tor-Nutzer zurückzuverfolgen. Es gibt zahlreiche Szenarien, in denen diese relativ leicht dazu bewogen werden können, Videodateien herunterzuladen und zu öffnen - das reicht vom Honeypot auf enttarnten Kinderporno-Portalen bis hin zu vermeintlichen Nachrichten-Clips bei politischen Dissidenten.
Jetzt einen Kommentar schreiben