Ein Wurm, der eine 2 Jahre alte lokale Schwachstelle ausnutzt, und ein Kommentar zur 'Benutzer sind Idioten'-Studie sind das Thema dieses Standpunkt Sicherheit.

Lokale Privilegieneskalation ist harmlos?

Schwachstellen, die angemeldeten Benutzern das Erlangen höherer Benutzerrechte erlauben, werden oft für nicht besonders gefährlich gehalten: Da sie eine erfolgreiche Anmeldung voraussetzen und man den eigenen Benutzern vertraut, wird schon nichts passieren. Das häufigste Gegenargument sind dann Gastzugänge wie z.B. Anonymous FTP oder Shared-Hosting-Systeme, bei denen man eben nicht jedem Benutzer vollständiges Vertrauen schenken darf. Auch immer wieder gerne vorgebracht: Ein Angreifer, der über irgend eine andere Lücke in ein System eingedrungen ist und nur eingeschränkte Rechte hat, kann sich dann über eine Privilegieneskalations-Schwachstelle höhere Rechte beschaffen. Meist wird dabei an eine Schwachstelle z.B. im Webserver gedacht. Das auch Client-Systeme betroffen sein können und die Schwachstelle nicht nur von einem menschlichen Angreifer, sondern auch durch Schadsoftware ausgenutzt werden kann, wird dabei meist nicht berücksichtigt.

Wurm mit Seltenheitswert

Genau das tut nun ein Wurm, Worm.Win32.AutoRun.nox, wie im Blog von F-Secure beschrieben wird. Er nutzt eine alte Schwachstelle in Windows GDI, um sich in den Kernel einzuschleichen. Eine für Rootkits ungewöhnliche Methode, eigentlich greifen die den Kernel direkt an, z.B. indem sie sich als Treiber tarnen. Falls das Eindringen in den Kernel über den Umweg nicht gelingt, bringt der Wurm aber auch noch einen gefälschten Treiber mit. Da frage ich mich doch, wozu dieser Aufwand? Und warum mit so einer alten Schwachstelle? An der ist eigentlich nichts besonderes dran, wenn man mal davon absieht, das sie im Rahmen eines außerplanmäßigen Security-Bulletins geschlossen wurde. Das galt aber eigentlich einer anderen, kritischen Schwachstelle in GDI, die jetzt ausgenutzte Schwachstelle wurde nur quasi "im Vorbeigehen" mit behoben, da es sonst am regulären Patchday ein weiteres Bulletin zu GDI-Schwachstellen gegeben hätte. Warum also nutzen die Wurm-Autoren eine fast 2 Jahre alte Schwachstelle aus, die seit über 1 1/2 Jahren gepatcht ist? Gibt es wirklich noch so viele ungepatchte Systeme? Wenn man mal davon ausgeht, das die Wurm-Autoren das nicht nur aus Jux und Dollerei gemacht haben (und warum sollten sie das?), dann rechnen sie ja wohl damit, über diese alte Schwachstelle eine für ihre Zwecke ausreichende Anzahl Opfer zu finden. Beängstigend, oder?

Gut dressiert ist halb verloren

'Die meisten Benutzer sind Idioten', dieses Ergebnis der Studie einiger Forscher des Psychology Department der North Carolina State University sollte einem doch zu denken geben. Natürlich werden Dialogboxen oft einfach weggeklickt, egal, was darin steht. Das ist doch ganz natürlich, schließlich lernen die Benutzer jeden Tag aufs Neue, das die Texte in Dialogboxen unverständlich sind und die Programme sowieso machen, was sie wollen - warum sollten sie sich also über eine weitere Dialogbox groß Gedanken machen? Die Macht der Gewohnheit ist in diesen Fällen mit den Cyber-Kriminellen - die Benutzer verhalten sich aus ihrer Sicht vollkommen korrekt.

Sieht doch alles harmlos aus...

Der von Ars Technica verlinkte Fake-Diaglog zeigt auch nichts, was für einen normalen Benutzer irgendwie gefährlich aussehen würde. "The instruction at blabla referenced memory at tralala, The memory could not be read. Click OK to terminate programm" - warum sollte ein normaler Benutzer da nicht auf OK klicken? Steht da irgend was gefährliches? Nein. Die Box sieht etwas anders aus? Na und? Hat ein normaler Benutzer irgendwann gelernt, das Wegklicken eine gute Lösung ist, wird er auf das Aussehen der Box gar nicht weiter achten. Außerdem: Das ist eine Dialogbox eines Programms, warum soll die nicht mal anders aussehen als üblich? Ist doch bei Programmen normal, das sie eine eigene Optik mitbringen. So hat bisher noch keine Meldung ausgesehen? Na und, was solls - dieser Fehler ist ja bisher vielleicht auch noch nicht aufgetreten, also OK klicken und weitermachen. Ach ja: OK klicken - welche Alternativen gäbe es denn? Wenn ein Benutzer erst mal gelernt hat, das er unten auf die Buttons klicken muss, dann sieht er da gar keine Alternative. Das Fenster zu schließen ist in dem Fall keine Option, er möchte ja weiter arbeiten und muss daher einen der Buttons drücken. Wenn es nur einen gibt, wird der gedrückt, fertig. Der Maus-Pfeil ändert sich in eine Hand? Na und? Da ist doch gerade eine Fehlermeldung, wenn die Benutzer sich da überhaupt Gedanken drüber machen, dann schieben sie es auf den Fehler, fertig.

Falsche Schlußfolgerung

'Die meisten Benutzer sind Idioten' ist also die falsche Folgerung. Richtig wäre: 'Die meisten Benutzer sind gut dressiert und/oder abgestumpft'. Eine bessere Schulung der Benutzer hilft da nur teilweise, auch die Meldungen von System und Programmen müssen entsprechend entworfen werden. Apple hat schon seit einer halben Ewigkeit Human Interface Guidelines, die unter anderem festlegen, welche Buttons wo zu finden sind. Programme, die sich nicht daran halten, sind nur sehr schwer zu bedienen, da man leicht den falschen Button anklickt. Würde das Psychology Department der North Carolina State University seinen Test mit Mac-Benutzern wiederholen und dabei die Buttons und Texte geschickt wählen, dürfte das Ergebnis ähnlich aussehen.

Angreifer sind keine Idioten

Eines sollte man bei der Bewertung der Studie auch noch beachten: Die Angreifer sind garantiert keine Idioten. Die werden immer dafür sorgen, das ihre gefälschten Dialogboxen so echt wie möglich aussehen. Unter diesem Gesichtspunkt ist die Studie also wenig hilfreich. Ob die Benutzer nun auf jede noch so plumpe Fälschung reinfallen oder nicht, ist egal - die Angreifer werden schon dafür sorgen, das ihre Fälschungen nicht auffallen.

Carsten Eilers