Demo: RTLO-Angriff auf Windows führt auch aufmerksame Nutzer hinters Licht

Die meisten Nutzer fühlen sich relativ sicher, wenn sie bei einer Datei anhand der Endung überprüfen, ob es sich tatsächlich um den Dateitypen handelt, den das Icon suggeriert. Allerdings kann man sich hier nicht auf die Darstellung des Dateinamens im Windows-Explorer verlassen, da dieser über einen relativ einfachen Weg ausgetrickst werden kann. Wie das geht, zeigt unser Kollege von SemperVideo in seinem Demo-Video.

In der Vergangenheit wurde Nutzern immer wieder empfohlen, das Ausblenden von Dateiendungen im Windows-Explorer zu deaktivieren. Denn Angreifer schicken immer wieder Malware per E-Mail oder andere Kanäle, bei der die angehängte Datei vorgab, ein harmloses Bild, Dokument oder Archiv zu sein, in Wirklichkeit aber ein ausführbares Programm mit Schadroutinen ist. Anhand der eingeblendeten Dateiendung sollte dies erkennbar sein.

Das ist es in vielen Fällen auch, doch verlassen sollte man sich darauf nicht. Denn über den so genannten Right-to-Left Override (RTLO)-Angriff, kann unter Windows noch besser ein harmloser File-Typ simuliert werden, als nur mit dem jeweiligen Icon. Ermöglicht wird dies durch die Eigenheit des Explorers, Unicode-Zeichen ohne Weiteres zu akzeptieren und ihre Sondereigenschaften umzusetzen.

Das heimtückische U+202E

So sorgt beispielsweise der Unicode-Character U+202E dafür, dass in einem String alle nachfolgenden Zeichen in umgekehrter Reihenfolge - also Right-to-Left, von rechts nach links - dargestellt werden. Kurzerhand können Dateinamen von ausführbaren Files im Explorer so dargestellt werden, dass auch die vermutliche Endung keinen Hinweis mehr darauf liefert, womit der Anwender es hier zu tun hat. Als vielsagendes Beispiel dient im Video die Zeichenfolge "sexy-hfdp.exe" als eigentlicher Name der ausführbaren Datei. Fügt man nun in der Mitte des Strings den U+202E-Character ein, stellt der Explorer den Namen als "sexy-hexe.pdf" dar. Verbunden mit dem passenden Icon kann ein Angreifer hier viel sicherer damit rechnen, auch halbwegs vorsichtige Nutzer hinters Licht zu führen.

Daher genügt es nicht, bei einer empfangenen Datei schlicht auf die Endung zu achten, bevor sie geöffnet wird. Was sich wirklich hinter dem File verbirgt, zeigt sich erst, wenn die Eigenschaften der Datei mit angezeigt werden. Hier informiert der Explorer dann korrekt, dass es sich um eine Anwendung handelt. Den korrekten Dateinamen ohne das ausgeführte Unicode-Zeichen erfährt man auch in der Eingabeaufforderung. Den besten Schutz erhält man natürlich, wenn grundsätzlich keine zugesandten Dateien aus unsicherer Quelle geöffnet werden. Doch was eine nicht vertrauenswürdige Quelle ist, kann sich eben auch stark unterscheiden. Nicht immer haben nur namenlose Kriminelle ein Interesse daran, einem Nutzer Schadcode unterzuschieben - manchmal sind es schlicht auch Kollegen oder vermeintliche Freunde.

Empfehlung: AV-Test: Das sind die Testsieger unter den Sicherheits-Produkten

Download Trend Micro Internet Security 2015 Download Kaspersky Internet Security 2015 Download Avira Free Antivirus 2014
Jetzt einen Kommentar schreiben