Microsoft verbessert Adware-Erkennung

Sicherheit
Microsoft (Bild: Microsoft)

Sie soll Code-Einspeisung durch einen Proxy, Änderungen an DNS-Einstellungen und Manipulationen auf Netzwerkebene abwehren. Adware wie Superfish soll es damit nicht mehr möglich sein, Werbung einzublenden. Die neuen Sicherheitstechniken sollen ab Ende März in Windows zur Verfügung stehen.

Microsoft implementiert ab 31. März 2016 neue Sicherheitstechniken in Windows, die die Anzeige von Werbung durch Adware verhindern sollen. Demnach werden Code-Einspeisung durch einen Proxy, Änderungen an DNS-Einstellungen und Manipulationen auf Netzwerkebene abgewehrt. Die häufig von Adware verwendeten Methoden griffen – ohne Kontrolle durch den Browser – in die Kommunikation des Computers mit dem Internet ein und seien als Malware anzusehen, schreiben die Microsoft-Mitarbeiter Barak Shein und Michael Johnson in einem Blogbeitrag.

“Programme, die im Browser Werbung anzeigen, dürfen ausschließlich das Erweiterungsmodell des Browsers für Installation, Ausführung, Ausschalten und Entfernung nutzen”, heißt es dort. “Auswahl und Kontrolle müssen beim Nutzer bleiben, und wir sind entschlossen, dieses Recht zu schützen.” Andernfalls bestehe die Gefahr des sogenannten Malvertising, bei dem Angreifer automatisierte Anzeigennetze nutzen, um Malware in scheinbar harmlose Werbung einzubauen.

Der Zweck der genannten Werbe- und auch Angriffstechniken sei es, Einstellungen zu ändern, ohne dass dies der Nutzer mitbekomme, erklärt Microsoft. Es fordert Entwickler auf, sich an die Regeln zu halten. Letztlich handle es sich um eine Umsetzung der bereits im April 2014 eingenommenen Position gegenüber Adware.

Ein Beispiel für diese Art von Adware ist laut des britischen Sicherheitsspezialisten Graham Cluley die von Lenovo vorinstallierte Schadsoftware Superfish. „Die von Lenovo installierte Superfish-Adware führt effektiv einen Man-in-the-Middle-Angriff durch und kann Ihre gesicherte Kommunikation aufbrechen – und das nur, um ein paar lästige Inserate zeigen zu können. Wenn Sie Superfish auf Ihrem Computer haben, dann können Sie Ihren sicheren Verbindungen zu Websites nicht mehr vertrauen.“ Als besonders gefährlich sieht er an, dass Superfish die legitimen Zertifikate etwa einer Bank durch sein eigenes ersetzt, um Werbung einschleusen zu können. Da die Adware dasselbe Zertifikat für jede besuchte Site nutze, sei es für einen bösartigen Angreifer nicht mehr besonders schwierig, das für seine Zwecke zu nutzen.

Im Sommer 2015 ermittelte eine Studie, dass mehr als die Hälfte aller Malvertising-Angriffe über normale Nachrichten- und Unterhaltungsportale kommt, die ohne ihr Wissen infizierte Werbung ausliefern. Laut Rahul Kashyap vom Adware-Spezialisten Bromium können Websites gegen solche Probleme mit Anzeigennetzen wenig mehr tun, als Code-Ausführung auf ihren Sites einzuschränken. Die Angreifer buchten direkt beim Anzeigennetzwerk und täuschten dessen Kontrollmechanismen.

Durch solche Tricks waren diesen Monat schon Besucher von Dailymotion dem Exploitkit Angler ausgesetzt gewesen. Das Videoportal registriert 128 Millionen Besucher pro Monat. Die Angreifer hatten den Werbeplatz regulär bei WWW-Promoter ersteigert. Ihre unscheinbar wirkende Anzeige tarnte sich gegenüber Sicherheitsforschern und Webcrawlern. Auch wurde kein User mehr als einmal angegriffen.

Ende November hatte Microsoft angekündigt, seine Sicherheitsbemühungen im Browserbereich stärker zu fokussieren. Ältere Versionen seines Browsers Internet Explorer unterstützt es nur noch bis zum 12. Januar 2016, also dem ersten Patchday des kommenden Jahres. Davon betroffen sind – bis auf wenige Ausnahmen – alle Versionen vor Internet Explorer 11. IE 9 unterstützt Microsoft demnach nur noch unter Windows Vista SP2 und Server 2008 SP2, IE 10 nur noch unter Windows Server 2012. Nutzer einer anderen noch von Microsoft unterstützten OS-Version sollten spätestens Anfang Januar 2016 auf Internet Explorer 11 oder einen alternativen Browser umsteigen.

Zudem will Microsoft wie Google und Mozilla ab Januar 2016 seinem Browser nicht mehr erlauben, eine verschlüsselte Verbindung auf Basis von SHA-1-Zertifikaten aufzubauen, wenn diese von einer anerkannten Zertifizierungsstelle in 2016 neu ausgestellt wurde. Ältere Varianten sowie selbst ausgestellte SHA-1-Zertifikate werden ein Jahr später nicht mehr unterstützt.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.