Woche 19: Wenn Malware-Scanner Malware installieren

Tech-Gigant Microsoft ist das Opfer tragischer Ironie geworden. Tief im Innersten seiner Antivirus-Engine steckt eine Schwachstelle, wie The Register berichtet. Just die Tools, die Schadprogramme erkennen sollen, könnten von Cyberkriminellen genutzt werden, um Malware auf einem Rechner zu installieren.

Die Engine steckt in verschiedenen Software-Lösungen, darunter etwa Windows Defender, Intune Endpoint Protection, Security Essentials, System Center Endpoint Protection und Forefront Endpoint Protection. Die Programme sind standardmässig eingeschaltet.

Der Exploit funktioniert gemäss dem Bericht folgendermassen. Cyberkriminelle verpacken boshaften Code in speziell präparierten Dateien. Wenn die Dateien vom Scanner analysiert werden, aktiviert dies den Schadcode – mit vollen Administratorenrechten. Der Eindringling könne dann Schadprogramme installieren, spionieren, Dateien stehlen oder die Kontrolle über das ganze System an sich reissen.

Anfang Woche veröffentlichte Microsoft ein Notfall-Update, um das Sicherheitsleck zu stopfen. So soll das Problem in den nächsten Tagen bereits behoben sein, schreibt The Register. Entdeckt wurde die Lücke von Natalie Silvanovich und Tavis Ormandy von Googles Sicherheitsteam Project Zero.

Audiotreiber bespitzelt HP-Nutzer

Microsoft ist nicht der einzige bekannte Name, der diese Woche für unschöne Schlagzeilen sorgt. HP lieferte Laptops mit einem vorinstallierten Keylogger aus. Dabei handelt es sich um ein Programm, das automatisch alle Tastenanschläge registriert und speichert. Also auch Passwörter, die auf dem Bildschirm nicht dargestellt werden.

Entdeckt wurde der Keylogger in der Schweiz. Die Sicherheitsexperten des Beratungsunternehmens Modzero fanden ihn per Zufall, wie sie in einem Blogeintrag schreiben. Modzero hat seinen Hauptsitz in Winterthur und unterhält zudem eine Niederlassung in Berlin. Die Redaktion sprach erst gerade im April mit Max Moser, Mitgründer der auf IT-Sicherheit spezialisierten Firma.

Der schnüffelnde Code ist in diesem Fall ein Audiotreiber des US-amerikanischen Softwareentwicklers Conexant. Der Treiber ist auf den Laptops der Elitebook-, Probook- und Zbook-Reihen zu finden. Er speichert die eingegebenen Tastaturbefehle unverschlüsselt auf der Harddisk. So könnten sie von jeder Malware gelesen werden.

Nutzer dieser Geräte sollten gemäss Modzero prüfen, ob das Programm C:\Windows\System32\MicTray64.exe oder C:\Windows\System32\MicTray.exe auf ihren Rechnern installiert ist. Modzero empfiehlt, diese Datei umzubenennen oder zu löschen. Die Datei C:\Users\Public\MicTray.log sollte umgehend gelöscht werden, da sie sensible Dateien enthalte.

Malwarebytes warnt Mac-Nutzer

Es gibt sie noch immer: Mac-Nutzer, die glauben, Malware sei nur ein Problem für Windows-Nutzer. Ein Irrtum, wie sich immer wieder zeigt. So entdeckten die Sicherheitsexperten von Malwarebytes nicht nur eine, sondern gleich zwei Bedrohungen für Mac-Systeme.

Die erste Bedrohung kommt Huckepack auf der Mac-Version des Videoencoders Handbrake. Mit dieser lassen sich etwa DVDs rippen – also auf der Harddisk speichern. Wer die Applikation in der ersten Mai-Woche herunterlud, holte sich sehr wahrscheinlich eine Malware-Infektion. Laut dem Anbieter von Handbrake liege die Wahrscheinlichkeit bei 50 Prozent. Wer Pech hatte, lud sich statt des Videoencoders eine Variante der Proton-Backdoor herunter. Also ein Programm, das Cyberkriminellen quasi die Hintertür öffnet.

Diese frage gemäss Malwarebytes unverzüglich nach Admin-Rechten. Erhalte die App die Rechte, lade sie weitere Malware herunter. Laut den Sicherheitsexperten sei diese Form von Proton aber ein wenig fehlerhaft. So installiere sie etwa verschiedene Schadprogramme, die gar nicht funktionieren.

Die zweite gefundene Bedrohung ist ebenfalls ein Backdoor-Programm: Snake, auch bekannt als Turla oder Uroburos. Dabei handelt es sich laut Malwarebytes um eine äusserst ausgefeilte Malware, die seit Jahren Windows-Systeme und seit 2014 auch Linux-Rechner befällt. Nun wurde sie auf Macs portiert. Es sei noch nicht klar, wie Snake auf Mac verbreitet werde. Vermutlich werde aber der Flash Player dafür verwendet.

Und falsche Finger überlisten Fignerabdruckscanner

Forscher der Tandon School of Engineering in New York haben sich eine neue Methode ausgedacht, wie man Fingerabdruckscanner austricksen kann. Sie haben quasi einen Hauptschlüssel für die Pfotenscanner, wie Bleepingcomputer berichtet.

Die meisten dieser Geräte speichern gemäss den Forschern keine vollständigen Fingerabdrücke. Stattdessen merkt sich das Gerät mehrere Einzelaufnahmen, die Teile des Abdrucks zeigen. Der Scanner selbst sieht jeweils auch nur einen Teil des Fingers. Mit anderen Worten: Die meisten Fingerabdruckscanner vergleichen lediglich einen Teil eines Fingers mit Teilen von Fingerabdrücken.

Auf diesem Ansatz aufbauend, entwickelten die Forscher einen Algorithmus, der sogenannte Masterprints erstellen könne. Diese hätten genügend Ähnlichkeiten zu den häufigsten Fingerabdruck-Mustern, dass der Scanner sie den Finger seines rechtmässigen Nutzers erkenne.

Die meisten Fingerabdruckscanner erlauben dem Nutzer, fünf Mal zu versuchen, falls das Gerät den Finger nicht erkennt. Gemäss den Forschern habe ihre Methode bei fünf Versuchen eine Erfolgsquote zwischen 26 und 65 Prozent. Je mehr partielle Fingerabdrücke das Gerät gespeichert hat, desto leichter lasse sich der Scanner austricksen.