Sie haben seit einigen Stunden gearbeitet. Zeit für eine Pause und eine Tasse Kaffee oder Tee. Sie sperren einfach nur den Bildschirm. Wieso der Aufwand mit dem vollständigen Ab- und Anmelden? In ein paar Minuten sind Sie ja schon wieder zurück. Es hat sowieso niemand Ihr Kennwort. Ihr Computer ist also sicher – oder?!
Viele Personen glauben, dass es kein Sicherheitsrisiko darstellt, wenn sie ihren Computer kurzzeitig unbeaufsichtigt lassen, sofern er gesperrt ist. Forscher Rob Fuller, leitender Sicherheitsingenieur bei R5 Industries, hat jedoch bewiesen, dass ein Angreifer mit physischem Zugang zum Gerät in weniger als einer Minute an Ihre Anmeldedaten (Benutzername und Kennwort) gelangen kann, sofern der Computer noch angemeldet ist.
Wie ist das möglich?
Fuller hat die Angriffsmethode unter Verwendung von USB armory von Inverse Path und LAN Turtle von Hak5 getestet. Dabei handelt es sich um zwei vollständige auf USB-Stickgröße ausgelegte Computer, die für Sicherheitsanwendungen und Penetrationstests verwendet werden. Beide wurden mit der Hackanwendung „Responder“ vorkonfiguriert. Werden die Geräte angesteckt, können sie die Anmeldedaten von einem gesperrten, angemeldeten System abrufen, indem sie als USB-Ethernet-Adapter ausgegeben werden.
Er erklärte, dass der Hack bei allen Windows-Versionen erfolgreich verlief, und äußerte seine Überraschung darüber, wie einfach es war, an die Anmeldedaten der Arbeitsstation zu gelangen. Zwar sind die Daten verschlüsselt, lassen sich aber zu einem späteren Zeitpunkt problemlos entschlüsseln. Der Erfolg in dem Angriff liegt darin, wie schnell die Daten abgegriffen werden können.
In seinem Bericht schreibt Fuller, dass er „es zur Bestätigung auf viele verschiedene Arten getestet hat“, weil er schlicht nicht glauben konnte, dass es möglich war. „Es ist so leicht und sollte einfach nicht funktionieren, aber es geht.“
So sieht es aus:
In einer E-Mail an Ars Technica erläuterte Fuller:
„In dem Video geschieht Folgendes: Der USB armory wird an das gesperrte, aber angemeldete System angesteckt. Über den USB mit Strom versorgt fährt er hoch und startet einen DHCP-Server und einen Antwortdienst. Dadurch erkennt das Opfersystem ihn als Ethernet-Adapter. Es erstellt dann eine Umleitung und sendet den bereits vorbereiteten Datenverkehr an den USB armory anstatt über die ‚eigentliche‘ Netzwerkverbindung. Der Antwortdienst reagiert nun auf alle Dienste mit der Bitte um Authentifizierung. Da das Betriebssystem den lokalen Netzwerkdienst als ‚vertrauenswürdig‘ behandelt, werden diese Anfragen auch automatisch mit einer Authentifizierung beantwortet. Sobald die Datenbank des Antwortdienstes verändert wurde, wird USB armory heruntergefahren (die LED leuchtet durchgängig).“
Das Erschreckendste daran ist, wie schnell und einfach sich diese Technologie anpassen lässt, um mit weniger Kosten noch effizienter zu funktionieren. Matrix berichtet, dass einige Personen bereits mit einem ähnlichen Setup auf einem RaspberriPi Zero Erfolg hatten. Der Hack kostete dabei lediglich 5 USD bei 10 Minuten Konfigurationsaufwand.
Weitere technische Informationen, wie der Hack funktioniert, erhalten Sie in Fullers vollständigem Bericht.
Was können Sie selbst tun?
Derartige Angriffe können leider nicht mit Anti-Malware-Programmen verhindert werden. Sie erfolgen über einen Computer im USB-Stick-Format, der eine Schwäche in Windows ausnutzt, wie das Betriebssystem mit neu angeschlossener Hardware umgeht.
Fuller empfiehlt diesen Artikel zu Prävention: Einleitung zu Windows DeviceGuard (auf Englisch)
Der beste und einfachste Schutz:
Lassen Sie Ihren Computer nicht angemeldet, wenn Sie Ihren Arbeitsplatz verlassen. Wie Sie oben sehen konnten, lassen sich die Anmeldedaten selbst bei gesperrtem Bildschirm innerhalb einer Minute abgreifen.
Wir wünschen eine schöne (Malware-freie) Zeit!
Übersetzt von Doreen Schäfer