{"id":227395,"date":"2020-01-24T00:44:21","date_gmt":"2020-01-23T23:44:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227395"},"modified":"2022-06-23T18:51:42","modified_gmt":"2022-06-23T16:51:42","slug":"edge-installer-sicherheit-mangelhaft","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/01\/24\/edge-installer-sicherheit-mangelhaft\/","title":{"rendered":"Edge: Installer-Sicherheit mangelhaft"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"Edge\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2020\/01\/Edge.jpg\" alt=\"Edge\" width=\"65\" height=\"67\" align=\"left\" border=\"0\" \/>[<a href=\"https:\/\/web.archive.org\/web\/20200921072640\/https:\/\/borncity.com\/win\/2020\/01\/25\/edge-and-its-lousy-installer-security\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Microsoft bietet seit einigen Tagen ja den neuen Chromium-basierenden Edge-Browser an. Allerdings ist die Sicherheit des bereitgestellten Windows-Installers recht mangelhaft.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/a56065ab4f5d445aa7ca98f93874c8a2\" alt=\"\" width=\"1\" height=\"1\" \/>Es war mal wieder eine 'unverf\u00e4ngliche' Mail, die mir von Stefan Kanthak zuging. Er fragte mich:<\/p>\n<blockquote><p>hast Du MicrosoftEdgeSetup.exe auf (D)einem Windows 7 bereits installiert?<\/p>\n<p>Das Installationsprogramm (ein Selbst-Extraktor) ist mal wieder industrie-<br \/>\nueblicher UNSICHERER und KAPUTTER SCHROTT\u2026 #<\/p><\/blockquote>\n<p>Ab dieser Stelle war ich neugierig und wollte es doch selbst mal testen. Also schnell den Installer heruntergeladen und in mein Testbett kopiert.<\/p>\n<blockquote><p>Das Testbett wird von Stefan Kanthak bereitgestellt, der sich mit solchen Sicherheitsthemen auseinander setzt. Man kann sich die Datei <a href=\"https:\/\/skanthak.homepage.t-online.de\/download\/FORWARD.CAB\" target=\"_blank\" rel=\"noopener noreferrer\">Forward.cab<\/a> von seiner Webseite herunterladen und in einen Ordner entpacken. Zudem gibt es noch eine <a href=\"https:\/\/skanthak.homepage.t-online.de\/sentinel.html\" target=\"_blank\" rel=\"noopener noreferrer\">Sentinel.exe<\/a>, die auch in diesen Ordner wandert.<\/p><\/blockquote>\n<blockquote><p>Falls ein Virenscanner beim Besuch der Kanthak-Webseite anspringt: Er liefert auf seiner Webseite das Eicar-Testvirus in einem Data Block-Attribut aus, um zu testen, ob Browser diesen auswerten und in den Speicher zur Ausf\u00fchrung laden. Dann sollte ein Virenscanner anschlagen.<\/p><\/blockquote>\n<h2>Installerprobleme<\/h2>\n<p>Zum Setup-Programm beschreibt Stefan Kanthak folgendes Informationen, die ihm aufgefallen sind:<\/p>\n<ul>\n<li>0. einziger Plus-Punkt: es fordert beim Start keine Administratorrechte an;<\/li>\n<li>1. es l\u00e4dt mindestens VERSION.dll aus seinem \"application directory\";<\/li>\n<\/ul>\n<p>Als ich aber die Setup-Datei <em>MicrosoftEdgeSetup.exe<\/em> aufgef\u00fchrt habe, wollte diese Administratorberechtigungen \u00fcber die Benutzerkontensteuerung. Es gab auch keinen Alarm bei der Ausf\u00fchrung in meinem Testbett.<\/p>\n<p>Nach einem Informationsaustausch mit Stefan Kanthak war der Sachverhalt klar. Die Edge-Setup-Datei, die den Browser aus dem Internet l\u00e4dt, braucht keine Administratorrechte. Vielmehr l\u00e4dt und entpackt das Programm die f\u00fcr den Edge ben\u00f6tigten Dateien vor der Ausf\u00fchrung in ein tempor\u00e4res Verzeichnis. Daher war klar, warum das Testbett nicht anschlug. Ich habe dann die Setup-Datei mit:<\/p>\n<p><em>MicrosoftEdgeSetup.exe<\/em> \/?<\/p>\n<p>aufgerufen. Der Installer und Entpacker unterst\u00fctzt zwar keine Optionen, versucht aber bestimmte DLLs aufzurufen. Und dort bekam ich bereits diverse Warnungen (siehe folgendes Bild), dass DLL-Dateien aus dem aktuellen Verzeichnis nachgeladen w\u00fcrden.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/OWLwHue.jpg\" \/><\/p>\n<p>Der Installer ist beim Entpacken also zumindest f\u00fcr DLL-Hijacking anf\u00e4llig. Ich habe hier im Blog ja bereits vor mehreren Tools mit solchen Schwachstellen gewarnt. Leider ist auch Microsoft mit seinen Installern oft dabei.<\/p>\n<h2>Entpacken\/dowload in ein Temp-Verzeichnis<\/h2>\n<p>Stefan Kanthak war dann noch aufgefallen, dass der Installer bei der Ausf\u00fchrung die Dateien in den Ordner <em>Temp<\/em> des Benutzerprofils schreibt<\/p>\n<blockquote><p>es erzeugt ein Unterverzeichnis EUT&lt;abcd&gt;.tmp im %TEMP%-Ordner, in<br \/>\ndas es seine Nutzlast entpackt (siehe folgende Liste):<\/p>\n<p>&#8230;\\EU753E.tmp\\MicrosoftEdgeUpdate.exe<br \/>\n&#8230;\\EU753E.tmp\\msedgeupdate.dll<br \/>\n&#8230;\\EU753E.tmp\\MicrosoftEdgeUpdateBroker.exe<br \/>\n&#8230;\\EU753E.tmp\\MicrosoftEdgeUpdateOnDemand.exe<br \/>\n&#8230;\\EU753E.tmp\\MicrosoftEdgeUpdateComRegisterShell64.exe<br \/>\n&#8230;\\EU753E.tmp\\MicrosoftEdgeComRegisterShellARM64.exe<br \/>\n&#8230;\\EU753E.tmp\\psmachine.dll<br \/>\n&#8230;\\EU753E.tmp\\psmachine_64.dll<br \/>\n&#8230;\\EU753E.tmp\\psmachine_arm64.dll<br \/>\n&#8230;\\EU753E.tmp\\psuser.dll<br \/>\n&#8230;\\EU753E.tmp\\psuser_64.dll<br \/>\n&#8230;\\EU753E.tmp\\psuser_arm64.dll<br \/>\n&#8230;\\EU753E.tmp\\NOTICE.TXT<br \/>\n&#8230;\\EU753E.tmp\\MicrosoftEdgeUpdateCore.exe<br \/>\n&#8230;\\EU753E.tmp\\msedgeupdateres_am.dll<br \/>\n\u2026<br \/>\n&#8230;\\EU753E.tmp\\msedgeupdateres_uz-Latn.dll<br \/>\n&#8230;\\EU753E.tmp\\MicrosoftEdgeUpdateSetup.exe<\/p><\/blockquote>\n<p>Dieses Verzeichnis konnte ich erst auf meinem Laufwerk nicht finden. Sp\u00e4ter kam ich darauf, dass der Installer dieses Verzeichnis nach der Installation wieder l\u00f6scht. Erst als ich w\u00e4hrend des Setup-Vorgangs nochmals nachgeschaut habe, war der tempor\u00e4re Ordner vorhanden.<\/p>\n<h2>Malware hat Schreib- und Ausf\u00fchrungsrechte<\/h2>\n<p>Der <em>Temp<\/em>-Ordner im Benutzerprofil kann vom Benutzer, also auch von Malware, jederzeit mit Dateien gef\u00fcllt werden. Eine Malware kann daher leicht die Setup-Dateien des Edge im Temp-Ordner \u00fcberschreiben. Diese werden dann ausgef\u00fchrt. Zum weiteren Problem schreibt Stefan Kanthak:<\/p>\n<blockquote><p>3. dummerweise erben das Unterverzeichnis und damit die ausgepackten<br \/>\nDateien die vererbbaren NTFS-Zugriffsrechte von %TEMP% &#8230; die<br \/>\nbei mir seit 20 Jahren den Eintrag (D;OIIO;WP;;;WD) alias<br \/>\n\"Verbiete Ausfuehren von Dateien\" enthalten: damit verabschiedet<br \/>\nsich dieser von BLUTIGEN ANFAENGERN verbrochene Schrott nach<br \/>\ndem\u00a0\u00a0\u00a0 ERFOLGLOSEN V ersuch,<br \/>\n\\EU753E.tmp\\MicrosoftEdgeUpdate.exe<br \/>\nzu\u00a0 starten OHNE Fehlermeldung!<\/p>\n<p>4. nachdem ich die NTFS-Zugriffsrechte von &#8230;\\EU753E.tmp\\* vor dem<br \/>\nStarten von &#8230;\\EU753E.tmp\\MicrosoftEdgeUpdate.exe geaendert habe<br \/>\nzeigt dieser SCHROTT das angehaengte Fenster mit dem Fehlercode<br \/>\n0x80040C01 an,<\/p><\/blockquote>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Edge Fehlercode 0x80040C01\" src=\"https:\/\/i.imgur.com\/T5yn8x5.jpg\" alt=\"Edge Fehlercode 0x80040C01\" width=\"600\" height=\"261\" \/><\/p>\n<p>Dieser Fehlercode scheint ein Universalcode zu sein. Denn auch beim Aufruf des Setup-Programms mit dem Schalter \/? erscheint der Fehler. Stefan Kanthak schreibt, dass die im Fenster angezeigte Schaltfl\u00e4che <em>Hilfe <\/em>den Standard-Browser mit <a href=\"https:\/\/support.microsoft.com\/en-us\/help\/4533311\/microsoft-edge-troubleshooting-tips-for-installing-and-updating\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Troubleshooting-Seite<\/a> aufruft. Der Fehlercode 0x80040C01 wird dort dummerweise nicht n\u00e4her erl\u00e4utert.<\/p>\n<p>Die Webseite <a href=\"https:\/\/www.tenforums.com\/browsers-email\/128467-microsoft-edge-insider-builds-troubleshoot-install-updates.html\" target=\"_blank\" rel=\"noopener noreferrer\">von TenForums<\/a> dokumentiert zwar Fehlercodes, der obige Code ist aber nicht dabei. Bleibt der Schluss, dass das mit dem Edge-Installer sicherheitstechnisch nicht so prickelnd ist. Nicht so sch\u00f6n \u2026<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft bietet seit einigen Tagen ja den neuen Chromium-basierenden Edge-Browser an. Allerdings ist die Sicherheit des bereitgestellten Windows-Installers recht mangelhaft.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4461,426],"tags":[4201,4328],"class_list":["post-227395","post","type-post","status-publish","format-standard","hentry","category-edge","category-sicherheit","tag-edge","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227395","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=227395"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227395\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=227395"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=227395"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=227395"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}