Black Hat: Windows 10 und die Cortana-Sicherheitslücken

[English]Auf der aktuell laufenden Black Hat-Konferenz in Las Vegas haben Sicherheitsforscher gezeigt, wie einfach sich Cortana nutzen ließ, um unter Windows 10 Sicherheitsfunktionen zu umgehen. Microsoft hat die Schwachstellen inzwischen geschlossen.


Anzeige

Dass Sprachassistenten für allerlei Überraschungen der negativen Art gut sind, hatte ich in diversen Blog-Beiträgen schon mal adressiert. Im Beitrag Cortana: Interesse bei Unternehmen, aber Sicherheitslücke vom Juni 2018 hatte ich z.B. berichtet, dass man eine Sicherheitslücke in Windows 10 entdeckt hat, wo Cortana mittels PowerShell auch bei gesperrtem System für kriminelle Zwecke missbraucht werden kann. Die Lücke (CVE-2018-8140)  wurde aber mit dem Juni 2018-Patchday geschlossen.

Cortana als Sesam öffne dich

Unter dem Titel Open Sesame: Picking Locks with Cortana wurde die Schwachstelle CVE-2018-8140 (siehe Ankündigung hier) erneut von einem Team des Technion Israel Institute of Technology um Professor Amichai Shulman aufgegriffen. Die Sicherheitsforscher hatten sich nämlich gefragt, wie die Sprachassistenten in Geräten die Sicherheit im Unternehmensumfeld beeinträchtigen.

Microsoft Cortana wird auf Mobil- und IoT-Geräten, aber auch in den Unternehmenscomputern verwendet, da es standardmäßig mit Windows10 aktiviert ist und immer bereit ist, auf Benutzerbefehle zu reagieren, selbst wenn die Maschine gesperrt ist. Die Interaktion mit einer gesperrten Maschine ist eine gefährliche architektonische Entscheidung. Anfang des Jahres 2018 haben die Sicherheitsforscher den Voice of Esau (VoE)-Exploit für eine Cortana-Schwachstelle aufgedeckt. Der VoE-Exploit ermöglichte es Angreifern, eine gesperrte Windows10-Maschine zu übernehmen, indem sie Sprachbefehle und Netzwerk-Funktionen kombinierten, um eine bösartige Nutzlast an den betroffenen Rechner zu liefern.

Auf der Blackhat-Präsentation haben die Sicherheitsforscher demonstriert, wie eine mächtige Schwachstelle in Cortana es Angreifern erlaubt, einen gesperrten Windows-Rechner zu übernehmen und beliebigen Code auszuführen. Durch die Ausnutzung der “Open Sesame”-Schwachstelle können Angreifer den Inhalt sensibler Dateien (Text und Medien) einsehen, beliebige Websites durchsuchen, beliebige ausführbare Dateien aus dem Internet herunterladen und ausführen und unter Umständen erhöhte Rechte erhalten.

heise.de hat in diesem Artikel einige Details veröffentlicht. Es reicht, nach der Aktivierung von Cortana (“Hey, Cortana?”) beliebige Tasten auf der Tastatur zu drücken. Schon öffnet sich der Suchdialog des Betriebssystems und zeigt beispielsweise Vorschau-Bilder von Fotos oder auch Textdokumenten. Das alles passiert wohlgemerkt bei einem gesperrten Windows 10-Bildschirm.

Wird ein USB-Stick an das System angeschlossen, kann per Cortana eine ausführbare Datei gesucht und mit einem simulierten Klick gestartet werden. Eine Abfrage der Benutzerkontensteuerung kann ggf. umgangen werden (Stichwort: UAC-Bypassing). Dies eröffnet die Möglichkeit, Malware über die Suchfunktion auszuwählen und zu starten, um diese auf das gesperrte System zu bringen.

Alternativ könnte per Sprachbefehl eine HTTP-Seite, die als Watering-Hole Malware verteilt, geöffnet werden. Laut heise.de nutzten die Sicherheitsforscher das Remote Desktop Protocol, um Sprachkommandos per Netzwerk direkt an weitere Opfer zu schicken, ohne hierfür das Mikrofon des Zielrechners verwenden zu müssen.


Werbung

Weiterhin beschreibt heise.de eine vierte Angriffsmethode, die sich bösartiger Cortana Skills bedient, die die Angreifer zuvor zum Cortana-Channel hinzufügten. Dann ließen sich diese Cortana Skills per Sprachkommando (samt Freigabe der Installation eines nicht vertrauenswürdigen Plug-Ins) aktivierten.

Erschwerend kommt hinzu, dass die Ausnutzung der Sicherheitslücke weder externen Code noch fragwürdige Systemaufrufe beinhaltet, so dass Code fokussierte Abwehrmaßnahmen wie Antivirus, Anti-Malware und IPS meist für den Angriff blind sind.

Ein Interview mit CNBC ist hier abrufbar. Wie bereits eingangs geschrieben, ist die Sicherheitslücke CVE-2018-8140 seit dem Juni 2018-Patchday geschlossen. Bleibt die Frage, wie viele weitere unerkannte Sicherheitslücken da noch schlummern. Laut Professor Amichai Shulman haben seine Studenten weitere Sicherheitslücken in Cortana entdeckt. Da diese ungefixt sind, wurden Details nicht verraten. Aber auch wenn diese irgendwann gefixt sind, der Angriffsvektor wird durch die von Microsofts Entwicklern propagierte Windows 10-Featuritis jedenfalls nicht kleiner. Oder wie seht ihr das so?


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Kommentare zu Black Hat: Windows 10 und die Cortana-Sicherheitslücken

  1. Sebastian sagt:

    Ich weiß, hier im Blog wird Windows 10 LTSB für Desktops recht kritisch diskutiert, aber Meldungen wie diese hier bestätigen für mich recht deutlich, dass diese Version die sicherste (oder auch “am wenigsten unsichere”) Möglichkeit ist, wenn Windows 10 eingesetzt werden soll oder muss.

  2. Rene sagt:

    Wie läuft der theoretische Angriff ab?
    Kann dieser nur per Sprachbefehl ausgeführt werden?

    Ich habe z.B. keine Kamera und kein Mikrophone an meinem Arbeitsrechner. Warum auch. möchte ja arbeiten ;)

    • Günter Born sagt:

      Ich kann nicht mit Details aufwarten, da ich nicht auf der Blackhat war. In den von mir zitierten Fundstellen heißt es, dass per RDP auch auf Fremdrechnern Cortana über Netzwerk angesprochen werden konnte. Diese Lücken sind ja durch MS gepatcht – andere Lücken sind bekannt, aber nicht offen gelegt. Der Artikel hatte aber auch ein anderes Ziel, was im letzten Satz angerissen wurde.

  3. Uwe sagt:

    Danke für diese Hinweise! Leiter ist die LTSB nicht frei verfügbar. Nach meiner geringen unwichtigen Meinung ist W10 das schlimmste Desaster in der Windows Geschichte! Fehler sind OK, das geht bei einem OS nicht anders. Das aber in einem OS, das produktiv eingesetzt werden soll / muss sich Dinge wie OnDrive und Cortana nicht final abwählen lassen, ist ein NoGo! Wir überlegen ernsthaft, Server OS auf dem Desktop einzusetzen. Uwe

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.