Allgemeine Frage zur WebSecurity

[john08]

Sorry, bin versehentlich in die Vista-Abteilung gerutscht!!! Kann der MOD das vielleicht in die XP-Abteilung umleiten? Danke!

Es wird immer wieder empfohlen, im Web nur mit eingeschränkten Accounts zu surfen. Warum ist klar, doch hätte ich folgende weiterführende Frage dazu:

Angenommen, es erfolgt während einer solchen Session der Transfer von (bspw. verschlüsselter oder gepackter) Malware, die von der Security nicht entdeckt wird. Dann kann die mit dem eingeschränkten Account nicht installiert werden - so weit, so gut. Weiter angenommen aber, ich melde mich nun nach der Web-Session ab und bei einem Admin-Account an. Gibt es Malware, oder ist sie zumindest prinzipiell denkbar, die ihre Installation (durch beigefügte, bereits aktive, möglicherweise ebenfalls verschlüsselte Launcher) selbst initiieren kann, sobald entsprechende System-Berechtigungen vorliegen?

Danke für eventuelle Hinweise!

[Andy1]

Gute Frage.

Ein klares Nein, sagt zumindest die Theorie.

Diese ist bekanntlich "grau", nein im ernst dies sollte und wird vom System nicht zugelassen.

[BuckFix]

Soweit die Theorie. In der Praxis sieht das dann ungefähr so aus:
Want UAC-Free iReboot? You got it: iReboot 1.1 released! — The NeoSmart Files

[Melodic]

Irgendwer sagte schon damals :

Die Renten sind sicher !

[john08]

Hab hier noch eine andere Variante (B) meines oben beschriebenen kleinen Szenarios, bei der auch ein Umweg über den Admin-Account wegfiele (sofern das Ganze überhaupt ansatzweise Chancen einer Realisierung besitzt).

Das XP-Update-System bietet folgendes Feature: Wenn ich mit einem eingeschränkten Account im Web unterwegs bin (die autom. Updates sind komplett aktiviert), Patches runtergeladen, aber mit den eingeschränkten Berechtigungen nicht installiert werden können und ich den Rechner abschließend direkt von diesem Account aus runterfahre, dann fragt mich das System, ob die bereitstehenden Updates während des Herunterfahrens installiert werden sollen. Das kann ich ablehnen oder bestätigen. Im letztgenannten Fall wird zunächst die Benutzer-GUI runtergefahren, anschließend werden die Sicherheits-Patches installiert, dann erfolgt der Shutdown. (Ist ganz komfortabel, weil eben der Umweg über einen Admin-Account entfällt.)

Nun habe ich mir überlegt, ob ein raffinierter Malware-Launcher (Marke: eXtended version), der "ready-to-go" nur ins System geschaufelt werden muss (bspw. über eine gehackte Webseite, zusammen mit den eigentlichen Malware-Komponenten) und Systemprozesse beobachten und interpretieren kann, sich just zum richtigen Zeitpunkt in dieses Prozedere einklinken und den XP-Updater dahingehend manipulieren könnte, dass dieser statt der anvisierten Sicherheits-Patches was ganz anderes installiert?
(Von Vorteil wäre bei dieser Strategie auch noch, dass zumindest einige Consumer-Security-Suiten ihre Schutzmodule als XP-Dienste laden. Selbige haben sich aber - wenn ich das richtig beschreibe - in diesem Szenario zum Zeitpunkt der Update-Installation bereits schlafen gelegt. Das bedeutet, auch ein proaktiver, verhaltensorientierter Prozess-Scanner würde das kleine Mistvieh auf diesem System-Level nicht mehr entdecken.)

Die ausschlaggebende Frage hierbei ist jedoch: Kann ein solcher "Launcher" derartiges überhaupt leisten, ohne selbst zuvor auf spezifische Weise ins System integriert worden zu sein (sprich: ohne Installation)? Vermutlich nicht, oder?

[BuckFix]

Irgendetwas auslösendes wirst du schon in das System bringen und aktivieren müssen.

[john08]

Tja, ... bin nur gewöhnlicher User mit zu begrenzten Systemkenntnissen, um hier noch weiterzukommen. Ich weiß lediglich, dass es Tools gibt, die man einfach auf den Rechner setzt und die ohne weitere Installation funzen, bspw. FreeRAM-XP-Pro. Aber ich kann absolut nicht abschätzen, ob die Manipulationsfähigkeiten, die mein fiktiver Launcher auf den SubAccount-SystemLeveln besitzen müsste, in dieser Form realisierbär wären.

[BuckFix]

Wenn dein fiktiver Launcher in einem hypothetischen Szenario auf einem imaginären Rechner eine praktische Sicherheitslücke mit theoretischer Erfolgschance der unentdeckten Durchführung eines bisher unbekannten Exploits unter Umgehung aller vorhandenen Sicherheitsmaßnahmen findet, lautet die Antwort: ja.

[john08]

Zitat:
Wenn dein fiktiver Launcher in einem hypothetischen Szenario auf einem imaginären Rechner eine praktische Sicherheitslücke mit theoretischer Erfolgschance der unentdeckten Durchführung eines bisher unbekannten Exploits unter Umgehung aller vorhandenen Sicherheitsmaßnahmen findet, lautet die Antwort: ja.

Genau!

Zitat:
Irgendetwas auslösendes wirst du schon in das System bringen und aktivieren müssen.

Dazu noch ein Nachtrag:
Du hast natürlich vollkommen Recht, irgendeine Aktivierung muss her.

Wenn wir jedoch einmal relativ großzügig davon ausgehen, dass der Launcher für seine späteren Aktivitäten (sprich: die Manipulation des XP-Updaters) keine spezielle Systemintegration/Installation benötigt, die ja im Szenario durch den eingeschränkten Account per se ausgeschlossen oder zumindest nicht so durchführbar ist, dass dabei was Funktionsfähiges herausspringt, dann dürfte sich eine reine Aktivierung des Progis relativ simpel gestalten lassen.

Das müsste durch irgendwelche dynamischen Elemente auf der gehackten Webseite realisierbar sein (browser- oder, wenn machbar, sogar servergestützt), ohne dass dies mit der eingeschränkten Systemumgebung des Zielrechners in irgendeiner Weise kollidiert. Mehr noch: Ich könnte mir vorstellen, dass dieser Prozess vom Design her so subtil und so vielgestaltig umsetzbar ist, dass er durch die Raster sämtlicher Webscanner schlüpft, selbst wenn denen irgendeine Heuristik oder andere proaktive Suchstrategien zugeschaltet wurden.

Für mich bleibt daher die Frage spannender: Kann der aktive Launcher seine relativ komplexen Systemeingriffe einfach so aus dem Ärmel schütteln? Aber diese Frage werden wir der geballten BrainPower organisierter Internetkriminalität überlassen müssen.

(Abgesehen davon ist dieses Szenario jedoch zu spezifisch und zu leicht [von vorsichtigen und umsichtigen Usern] umgehbar [indem man die Bequemlichkeit einfach beiseite lässt], als dass sich der Entwicklungsaufwand für die Folks wirklich lohnen würde.)