Tor-Austrittsknoten schleust Malware in ausführbare Dateien ein

Die Erkenntnisse von Josh Pitts basieren auch auf seinen Untersuchungenzur Veränderung von Binärdateien durch Man-in-the-Middle-Angriffe mithilfe des „Backdoor Factory“-Patching-Framework. Pitts hat zudem überprüft, ob der Schadcode auch in Windows-Update-Pakete im Format Windows Portable Executable (PE) eingeschleust wird.

Dies ergab, dass das Windows-Update-System bei einer solchen Manipulation der Windows-PE-Pakete den Fehlercode 0×80200053 generiert. Um diesen Fehler bei den Windows-Update-Paketen abzustellen, empfahl Microsoft seinen Nutzern neben anderen Lösungen, das Microsoft-Tool „FixIt“ herunterzuladen und auszuführen.

„Wenn ein Angreifer Binärdateien patcht, während Sie diese herunterladen, werden auch diese ausführbaren FixIt-Dateien gepatcht“, so Pitts. „Da der Nutzer und nicht der automatische Update-Prozess diese Downloads startet, werden diese Dateien nicht wie bei Windows Updates vor der Auführung verifiziert.“

Außerdem gibt es in diesem Szenario noch ein Problem mit der Vergabe von Rechteerweiterungen nach dem Download der „gepatchten“ ausführbaren Daten.

„Darüber hinaus benötigen diese Dateien für ihre Ausführung Administratorrechte und sie werden die beim Herunterladen an die Binärdateien angehängte Schadroutine mit diesen erweiterten Rechten ausführen“, so Pitts weiter.

Bisher wurde nur einer von 1100 Tor-Austrittsknoten gefunden, der Binärdateien beim Herunterladen mit Malware verseucht. Das bedeutet aber nicht, dass nicht auch andere Austrittsknoten betroffen sind.

„Sie sind mir vielleicht entgangen oder vielleicht warten sie darauf, nur einige wenige Binärdateien zu patchen“, sagte Pitts.

Das „Onion Router“-Projekt wurde über das Problem bereits informiert.

rn