[English]Windows-Nutzer lassen sich beim Import von .reg-Dateien hemmungslos austricksen, wie ich gerade verifizieren konnte. Man kann dem Benutzer über ein Import-Dialogfeld beliebige Nachrichten schicken.
Anzeige
Worum geht es?
In Windows lassen sich .reg-Dateien, kleine Textdateien, mit dem Editor erstellen und speichern. In der .reg-Datei können Befehle stehen, um Einträge in der Registrierung zu setzen oder zu löschen. Der Windows-Registrierungseditor regedit.exe ermöglicht es, den Inhalt einer .reg-Datei per Doppelklick zu importieren.
Dann kommt das obige Dialogfeld, welches vor dem Import warnt und der Benutzer muss dem Import über die Ja-Schaltfläche zustimmen. Bei bestimmten Schlüsseln sind aber administrative Rechte für den Import notwendig, so dass der Registrierungseditor über die Benutzerkontensteuerung erhöhte Rechte anfordern muss. So weit so gut.
Der Import-Dialog lässt sich manipulieren
Spoofing ist der englische Begriff für eine Täuschungsmethode in der Informatik, den Angreifer verwenden, um Benutzer auszutricksen. Sicherheitsforscher John Page (aka hyp3rlinx) hat nun herausgefunden, dass man dem Registrierungseditor regedit.exe eine reg-Datei mit einem speziell gestalteten Dateinamen unterjubeln kann. Durch diesen Dateinamen lässt sich der Text im angezeigten Dialogfeld manipulieren.
Das obige Dialogfeld zeigt eine manipulierte Textmeldung beim Import einer .reg-Datei. Hier wurden Textteile der ursprünglichen Meldung schlicht unterdrückt. Über eine solche manipulierte Meldung könnten Angreifer unerfahrene Nutzer dazu bringen, die Ja-Schaltfläche zum Import einer .reg-Datei mit gefährlichen Inhalten zu importieren. Zudem gibt es in Windows 10 wohl die Möglichkeit, die Anzeige des zweiten Statusdialogfelds, welches mitteilt, dass ein Import erfolgreich war, zu unterdrücken.
Ansätze zur Manipulation
Um den angezeigten Standardtext zu löschen und eigene Texte im Dialogfeld einzublenden, kann man mit %-codierten Zeichen wie %n oder %r und %0 im Dateinamen der .reg-Datei arbeiten. So können zum Beispiel die Textstellen "nicht vertrauen …" und "Möchten Sie den Vorgang vortsetzen?" in der Standardwarnmeldungen können durch die Verwendung von %0-Zeichen entfernt werden.
Normalerweise öffnet der Registrierungseditor nach einem erfolgreichen Import ein weiteres Fenster mit einer entsprechenden Statusmeldung. Diese lässt sich unterdrücken, indem am Ende des Dateinamens, direkt vor dem Punkt eine (Null) als Wert eingefügt wird. Dies lässt sich mit %1 oder %25 erreichen. Der Dateinamen:
Anzeige
"Microsoft-Security-Update v1.2-Windows-10.r%e%g%r%nC%l%i%c%k%b%Y%e%s%b%b%b%b%1%0.reg"
unterdrückt nicht nur das zweite Statusfenster mit der Anzeige des erfolgreichen Imports. Es erzeugt auch ein Dialogfeld mit dem oben gezeigten, manipuliertem Test in der Anzeige. Hier eine Liste von Zeichen, die sich für die Manipulation nutzen lassen.
- % – can be used for obfuscation e.g. %h%a%t%e = hate
- %b will create white-space
- %n makes a newline
- %r makes a newline
- %1 creates (null) – important as we prevent the second registry dialog from
appearing after a successful import! - %0 Important terminates string
- %25 (Windows 10) creates (null) – Important as we prevent the second
registry dialog from appearing after a successful import! - %3 – Important as we prevent the second registry dialog from appearing
after a successful import! (but shows asian char) - %5 (Windows 10) duplicates the default registry dialog box message by "n"
amount of times per amount of %5 injected into the filename - %25 (Windows 7) duplicates the default registry dialog box message by "n"
amount of times per amount of %25 injected into the filename - %2525 prevents registry editor from opening
- %169 will show our junky filename in the dialog box (we don't want that)
- %3, %197, %17 and some others change the default language shown in the
registry dialog box to asian characters etc.
Der Sicherheitsforscher beschreibt auf Seclists.org die Details und gibt dort die obige Liste mit Zeichen für die Manipulation an.
2015
Günter, was soll das denn? Willst du Kriminelle anlernen?
Wer Dateien mit derart kryptischen Dateinamen erstellt, speichert oder ausführt, sollte mal zum Arzt gehen.
Jedoch ist es bedenklich, dass Microsoft Software über Dateinamen gesteuert werden kann. Auch wenn es sich hier nicht um eine Schwachstelle im Sinne der Sicherheit handeln muss, sollte Microsoft trotzdem Abhilfe schaffen.
Microsoft ändere bitte daran ausnahmsweise mal nichts, ich finde das gut so wie es ist.
Man braucht einfach nur sein Online und Email verhalten zu ändern und nicht alles was nicht bei zwei auf den Bäumen ist an zu klicken!
Falls mir jemand den ich nicht kenne eine Mail mit einer .reg Datei zusendet installiere ich die doch auch nicht ungefragt und gegen geprüft oder mach so etwas etwa?