{"id":260051,"date":"2021-12-02T00:13:00","date_gmt":"2021-12-01T23:13:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260051"},"modified":"2022-02-05T04:48:05","modified_gmt":"2022-02-05T03:48:05","slug":"windows-10-11-falle-beim-trusted-apps-installer","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/02\/windows-10-11-falle-beim-trusted-apps-installer\/","title":{"rendered":"Windows 10\/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Hoh hoh, Leute, wir k\u00f6nnen heute das zweite T\u00fcrchen im Adventskalender \u00f6ffnen und schauen, was Microsoft so sch\u00f6nes dahinter versteckt hat, um Administratoren zu erschrecken. Heute finden wir den AppX-Installer, der in Windows 10 und Windows 11 zum Installieren von Anwendungen und Apps verwendet wird. Hier ein kleiner \u00dcberblick, warum man das W\u00f6rtchen Trusted Apps nicht so ganz w\u00f6rtlich nehmen soll. Denn der zugeh\u00f6rige Installer kann durchaus Malware auf das System sp\u00fclen (Emotet nutzt das aktuell bei Angriffen), die Apps aber wegen eines gravierenden Design-Fehlers als Trusted ausweisen.<\/p>\n

<\/p>\n

\"\"Eigentlich hatte ich nicht vor, einen Sicherheits-Adventskalender zu veranstalten. Aber nachdem ich f\u00fcr meine deutschsprachige Leserschaft die \u00dcberraschung Microsoft Defender Version 1.353.1874.0 meldet f\u00e4lschlich Trickbot\/Emotet<\/a> hinter das erste T\u00fcrchen gepackt habe, ist mich gestern ein weiterer Fall angesprungen. Ich habe den mal hinter das zweite T\u00fcrchen gepackt.<\/p>\n

Windows 11 und die Trusted Apps<\/h2>\n

Mir ist der Fall gestern auf Twitter vor die F\u00fc\u00dfe gesp\u00fclt worden. Ein Benutzer erhielt eine E-Mail, die den Trojaner Emotet verteilen sollten – wie der nachfolgende Tweet<\/a> verdeutlicht. War gl\u00fccklicherweise ein Administrator, der ein Windows Testlabor auf einem Host betreibt.<\/p>\n

\"Emotet<\/a><\/p>\n

Soweit so h\u00e4ufig erlebt. In einer Mail wurde das Opfer angesprochen, dass man da hart gearbeitet und nun ein Update verf\u00fcgbar habe. Die Mail enthielt dann einen Link, um etwas aus dem Web herunter zu laden. Und ab da wird es interessant, wenn man sich den Hut des normalen Anwenders, der irgendwann mal kurz geschult wurde, nur auf vertrauensw\u00fcrdiges zu klicken, aufsetzt.<\/p>\n

<\/p>\n

Der Link in der E-Mail f\u00fchrt dann auf eine windows.net-Webseite, die eine PDF-Vorschau mit dem Bericht verspricht (siehe vorhergehender Screenshot). Der Administrator, der den Fall auf Twitter dokumentiert hat, konnte bereits an Hand der Verweisziele erkennen, dass da was nicht koscher war. Aber so arbeitet der normales Anwender selten – der klickt auf Preview PDF<\/em>. Nun soll der Dropper f\u00fcr die Emotet-Malware aktiv werden, indem dem Benutzer ein Installer als Download untergejubelt wird. Aber halt, wir sind ja in Windows 11, dem sichersten Windows aller Zeiten. Das weist so etwas doch sicher ab. Der Nutzer bekommt also die Seite des AppX-Installers wie in nachfolgendem Tweet<\/a> angezeigt.<\/p>\n

\"Trusted<\/a><\/p>\n

Der in den Tweets gezeigte Screenshot legt schon das gesamte Drama offen. Das Fenster behauptet, die Adobe PDF-Komponente installieren zu wollen. Und weil der Benutzer hoffentlich geschult wurde, nicht alles, was bei drei auf den B\u00e4umen ist, anzuklicken, schaut der sich die Informationen im Fenster an. Da steht, dass die Komponente von Adobe k\u00e4me und die\u00a0 Version 1.2.0.0 habe. Was aber viel wichtiger ist: Es erscheint ein Logo und ein Link Trusted App mit gr\u00fcnem H\u00e4kchen. Die angebotene App ist also scheinbar sicher. Nur wenn der Nutzer auf den Link Trusted App <\/em>klickt, bekommt er den in obigem Tweet sichtbaren Hinweis Publisher Identity check<\/em>. Dieser weist im aktuellen Fall RU, Sankt-Petersburg, BITBITE LLC<\/em> aus, der als verifizierter Publisher gilt.<\/p>\n

Im Fenster wird aber der unsignierte, willk\u00fcrliche Name aus den Metadaten des App-Installationsprogramms und nicht der Name der Entit\u00e4t, f\u00fcr die das Zertifikat der digital signierten App ausgestellt wurde, angezeigt. Nur diese Signatur w\u00fcrde Aufschluss geben, ob die App f\u00fcr Adobe Inc. signiert wurde. Dazu schreibt Brian in Pitsburg<\/em>:<\/p>\n

Die Tatsache, dass der Name des Herausgebers, den man auf den ersten Blick sieht (es sei denn, man klickt auf die Details der \"vertrauensw\u00fcrdigen App\"), der unsignierte, willk\u00fcrliche Name in den Metadaten des App-Installationsprogramms ist und nicht der Name der Entit\u00e4t, f\u00fcr die das Zertifikat ausgestellt wurde, ist einfach verbl\u00fcffend.<\/p>\n

Genauso wie die schreckliche Verwendung der Bezeichnung \"Trusted App\" f\u00fcr einen Installer, der keinerlei \u00dcberpr\u00fcfung, Analyse oder Reputationspr\u00fcfung durchlaufen hat.<\/p>\n

Schreckliche Sicherheitsdialoge sind f\u00fcr mich der frustrierendste Aspekt von Windows\/Office-Sicherheit. Und zwar genau deshalb, weil es im Grunde keine Barriere oder Kosten gibt, um sie zumindest bis zu einem gewissen Grad zu verbessern. (Und bei mehr als einer Milliarde Rechnern sind solche Verbesserungen von Bedeutung.)<\/p><\/blockquote>\n

Will Dormann hat es hier<\/a> in mehreren Tweet auch noch aufgegriffen. Wie meint ein Nutzer dazu: Was zum Teufel [macht] Microsoft?! Wie kann so etwas Grundlegendes nicht bei mindestens einem Meeting auffallen? Geschweige denn bei der Entwurfspr\u00fcfung oder sonst wo. Was f\u00fcr ein Witz. <\/em>Nun ja, habe ich euch nicht eine sch\u00f6ne \u00dcberraschung von Microsoft hinter das zweite T\u00fcrchen des Sicherheits-Adventskalenders gepackt? Ob es morgen eine weitere \u00dcberraschung gibt? Wer wei\u00df … ich wei\u00df es jedenfalls noch nicht – we will wait and see.<\/p>\n

PS: Kevin Beaumont hat es in diesem Tweet<\/a> pr\u00e4zisiert. Die Emotet-Gang missbraucht weiterhin zwei Dinge: Den AppX-Installer in Windows 10\/11, der das Ganze als Trusted ausweist. Und das http:\/\/windows.net Hosting, auch bekannt als Azure File Hosting. Und dort gehostete Dateien werden weiterhin nicht zeitnah gel\u00f6scht, wenn dort Malware abgelegt wird. Im obigen Fall sind die gef\u00e4hrlichen Downloads nach vielen Stunden auf Grund einer Abuse-Mitteilung gel\u00f6scht worden, so wie ich es mitbekommen habe.<\/p>\n

Die Kollegen von Bleeping Computer haben die Geschichte hier<\/a> aus Sicht des Emotet-Installers aufbereitet, ohne das Beef hinter dem Thema \"Trusted App\" aufzugreifen.<\/p><\/blockquote>\n

Artikel des Security-Adventskalenders
\n<\/strong>1.\u00a0Microsoft Defender Version 1.353.1874.0 meldet f\u00e4lschlich Trickbot\/Emotet<\/a>
\n2.\u00a0Windows 10\/11: Falle beim \"trusted\" Apps-Installer; Emotet nutzt das<\/a>
\n3.\u00a0Beispiele f\u00fcr Viren-Mails nach \u00dcbernahme eines Exchange-Servers<\/a>
\n4.\u00a0Phishing-Angriffe von Staatshackern \u00fcber neue RTF-Template-Injection-Technik<\/a>
\n5.\u00a0BSI-Empfehlung: Reagiert nicht auf SPAM-Mails<\/a>
\n6.\u00a0Android App Barcode Scanner Lite mit Trojaner \u2013 \u00f6ffnet zuf\u00e4llige Webseiten<\/a>
\n7.\u00a0Cyberangriff auf SPAR-Lebensmittelgesch\u00e4fte in Yorkshire\/England<\/a>
\n8.\u00a0Excel XLL-Addins f\u00fcr Malware-Installation missbraucht<\/a>
\n9.\u00a0Hellmann Logistics Opfer eines Cyberangriffs<\/a>
\n10.\u00a0Cloud-Dienste \u00fcber USB-over-Ethernet-Schwachstellen angreifbar<\/a>
\n11.\u00a0Malware in Android Apps am Beispiel von GriftHorse<\/a>
\n12.\u00a0Azure Privilege Escalation durch Missbrauch der Azure API-Permissions<\/a>
\n13.\u00a0Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen<\/a>
\n14.\u00a0Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme<\/a>
\n15.\u00a0Windows, TPM, MEM, und Intune: H\u00fcrden beim Motherboard-Wechsel<\/a>
\n16:\u00a0H\u00e4ufige Login-Versuche an Routern (FRITZ!Box)<\/a>
\n17:\u00a0Insides zu Irelands Public Healthcare Ransomware-Fall<\/a>
\n18:\u00a0Sennheiser legt Kundendaten \u00fcber alte Cloud-Instanz offen<\/a>
\n19:\u00a0Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert<\/a>
\n20:\u00a0CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt<\/a>
\n21:\u00a0Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen<\/a>
\n22:\u00a0Tipps f\u00fcr mehr Schutz gegen Smishing-Attacken<\/a>
\n23:\u00a0BSI warnt: Erh\u00f6hte Bedrohung durch Ransomware-Angriffe zu Weihnachten<\/a>
\n24:\u00a0Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Hoh hoh, Leute, wir k\u00f6nnen heute das zweite T\u00fcrchen im Adventskalender \u00f6ffnen und schauen, was Microsoft so sch\u00f6nes dahinter versteckt hat, um Administratoren zu erschrecken. Heute finden wir den AppX-Installer, der in Windows 10 und Windows 11 zum Installieren von … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301,3694],"tags":[4328,3288],"class_list":["post-260051","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","category-windows-10","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260051","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260051"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260051\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260051"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260051"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260051"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}