Was an Windohs faul ist? Zum Beispiel, dass eine mit krimineller Energie geschriebene HTML-Seite (oder ein Inhalt, der in eine solche eingebettet ist) dazu hinreicht, eine Malware in den MBR zu befördern. In den MBR! Derartige Rechte sollten nicht einmal zu den normalen Nutzerrechten gehören, und welche Rechte kriegt da irgendein Zeugs aus dem Web, zum Henker nochmal?! Unfassbar!
(Ich würde übrigens wegen der Sprache der Bootsektor-Malware darauf wetten, dass diese Malware wieder einmal über einen Ad-Server den Weg zu ihren Opfern findet. Ads werden lokalisiert ausgeliefert. Ein Grund mehr, niemals ohne Werbeblocker im Web unterwegs zu sein. Egal, was einige Leute jammern, dass ihnen damit das Geschäftsmodell für ihren Netzauftritt zerstört wird. Kein Java-Plugin mehr haben, Ad Block Plus und NoScript dürfte ein gutes Abwehrmittel gegen derartige Angriffe sein. Aber trotzdem: Der Zugriff auf den MBR muss schon vom Betriebssystem unterbunden werden. Das darf gar nicht gehen.)
fritz the cat am 14.4.2012 um 01:23
ich denke nicht dass die malware so einfach gestrickt ist und ohne adminrechten geht das imo gar nicht. und selbst mit adminrechten verhindert das die UAC (sofern sie nicht wie bei mir komplett abgeschaltet ist *g*), sollte sie zumindest. ich denke das zeug nistet sich im bootvorgang von windows ein und installiert sich dann erst im mbr wenn neu gestartet wird, dann wenn auch keine UAC mehr greift. und mit entsprechenden exploits/rechten (zb. privileg escalation) sowieso kein problem. das wäre es aber auch bei jedem anderen os nicht, denke ich. ich denke da nur an gparted unter linux mit root. wie sollte man auch sonnst selbst seine festplatte manipulieren, sprich umpartinionieren etc.
was aber ganz einfach gestrickt ist, ist ja wie man das wieder los wird. fixmbr war auch mein erster gedanke.
Nachtwächter am 14.4.2012 um 15:18
Unter Linux müsste so ein Hack mit root-Rechten laufen, um eine Chance zu haben, an den MBR zu kommen. Dann ist es natürlich sehr einfach, schließlich sind die Datenträger schlichte Device-Dateien wie /dev/sda, bei denen die ersten Bytes einfach überschrieben werden könnten.
Aber unter Linux hat ein gewöhnlicher Benutzerprozess (wie ein Browser) nicht diese Rechte. Jedenfalls nicht absichtlich…
Jetzt, einen Tag später, beschleicht mich der Verdacht, dass das Problem darin liegen könnte, dass verdammt viele Leute unter Windohs mit administrativen Rechten surfen.
fritz the cat am 14.4.2012 um 16:01
wie schon gesagt, selbst mit admin rechten sollte das die UAC verhindern, ab windose witzda. aber mit systemrechten wird wohl auch die machtlos und solche exploits gibt es ja auch, wenn ich mich nicht irre.
schon klar das das unter linux auch nur mit admin(root)rechten geht, aber auch das ist zumindest theoretisch möglich falls es da nen exploit gibt – war da nicht was vor kurzem mit samba?
aber hey, so ein experte bin ich da auch wieder nicht. besonders für linux – muss nur ab und an etwas über ssh machen (rsync, scp, dienste restarten oder so zeugs) und da hab ich eh immer root *G*
aber ich stimme mit dir natürlich überein, was ad-, bzw. scriptblocker betrifft. nur, gerade mit noscript sind die DAUs doch imho leicht überfordert. wenn dann kaum ne webseite mehr richtig funzt wird das vielen sicherlich lästig. geanau so wie ich cookies handhabe, nämlich jedesmal nachfragen, hab ich mir schon sagen lassen, das nervt doch immer das popup. finde ich nicht. so viel zeit muss sein
Nachtwächter am 15.4.2012 um 18:03
Ja, Samba läuft als root. Nur so kann es die Identität anderer Nutzer annehmen, wenn es mit anderen Rechten auf Freigaben zugreifen soll. Und wenn in so einem Server ein ausbeutbarer Bug ist, dann hat man ein riesengroßes Scheunentor. Gut, dass SMB beinahe nirgends ins Internet geroutet wird, sonst wären der Welt ein paar lustige Stunden beschert worden – ein DoS war leicht, da man Samba ohne besonderen Aufwand zum Absturz bringen konnte. (Selbst ausprobiert…)
hustinettenbaer am 16.4.2012 um 07:48
rootkits verschaffen sich adminrechtte, einfangen kann man dje sich aber auch mit eingeschraekten rechten, oft via js oder ungepruefte downloads. und los wird man die nicht einfach, indem man den mbr ueberschreibt.