Windows PowerShell wird immer häufiger Ziel von Angriffen

BetriebssystemSicherheitSicherheitsmanagementWorkspace
datendiebstahl (Bild: Shutterstock)

Einem Bericht von Fireeye zufolge nutzen Cyberkriminelle Schwachstellen in dem Administrationswerkzeug aus, um Command-and-Control-Aktivitäten in kompromittierten Netzwerken auszuführen. Das seit Windows 7 vorinstallierte und immer häufiger auch in Unternehmen verwendete Tool kann selbst dann missbraucht werden, wenn es gar nicht aktiv genutzt wird.

Der US-Sicherheitsdienstleister FireEye warnt in einem Whitepaper vor allem Unternehmen vor dem Administrationswerkzeug Windows PowerShell. Cyberkriminelle nutzten das Tool immer häufiger, um Command-and-Control-Aktivitäten in bereits zuvor kompromittierten Windows-Netzwerken auszuführen.

Fireeye_Powershell_attacks
In einem Whitepaper hat FireEye Cyberangriffe unter Ausnutzung von Schwachstellen in Windows PowerShell untersucht (Screenshot: ITespresso.de).

Windows PowerShell kommt als Alternative zur Windows-Eingabeaufforderung inzwischen auch immer häufiger in Unternehmen zum Einsatz kommt. Die Funktion ermöglicht es laut FireEye, in Remote-Systeme einzudringen und dort Befehle auszuführen, Dateien zu kopieren, Schadcode zu laden oder mit anderen Betriebssystemkomponenten zu kommunizieren. Dem kalifornischen Sicherheitsdienstleister zufolge ist für die Durchführung dieser Schritte in der Regel keine Interaktion mit Malware notwendig.

In diesem Fall werden lediglich Schwachstellen in der PowerShell-Software ausgenutzt, die bei neueren Windows-Generationen – ab Windows 7 beziehungsweise Windows Server 2008 R2 – schon vorinstalliert ist. Bereits in Unternehmensnetzwerke eingedrungene Angreifer können die Anfälligkeiten des Administrationswerkzeugs laut FireEye selbst dann missbrauchen, wenn das Tool in einem Unternehmen nicht aktiv zur Systemverwaltung eingesetzt wird. Beispielsweise könnten sie bestimmte Funktionalitäten des Programms aktivieren, um diese für ihre Zwecke zu nutzen.

Ein Angreifer muss hierfür auf dem Zielsystem zunächst an Rechte gelangen, die denen eines Administrators entsprechen. Typischerweise werden die Zugangsdaten zu einem privilegierten Domänenkonto genutzt. Der Angreifer kann sich dann über gängige Netzwerkports- und Protokolle wie SMB, NetBIOS und/oder Windows Remote Management (WinRM) Zugang zum System verschaffen.

Anschließend kann er mithilfe nativer Windows-Kommandos wie dem “at”-Befehl (zur Erstellung geplanter Tasks) sogar aus der Ferne den PowerShell-Fernzugriff und den zugehörigen WinRM-Dienst aktivieren. Möglich macht dies etwa auch der WMI-Dienst (Windows Management Instrumentation), der den Zugang zu nahezu allen Einstellungen in Windows erlaubt. Der Angreifer kann nach dieser erfolgreichen Kompromittierung selbst die standardmäßig eingestellten Software-Beschränkungsrichtlinien umgehen, die die Skriptausführung mit Windows PowerShell regulieren.

Ferner lässt sich ein Windows-System darüber so konfigurieren, dass das Administrationswerkzeug beim Systemstart oder einer Benutzeranmeldung automatisch ausgeführt wird. Dabei wird auf sogenannte Persistenzmechanismen zurückgegriffen, die es generell erlauben, Datenstrukturen in nicht-flüchtigen Speichern wie Dateisystemen oder Datenbanken abzulegen, wodurch sie auch einen Systemneustart überleben können.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen