{"id":294656,"date":"2024-04-23T02:12:17","date_gmt":"2024-04-23T00:12:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294656"},"modified":"2024-04-23T02:12:17","modified_gmt":"2024-04-23T00:12:17","slug":"microsofts-neuer-store-app-installer-mit-telemetrie-wrapper-als-sicherheitsfalle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/23\/microsofts-neuer-store-app-installer-mit-telemetrie-wrapper-als-sicherheitsfalle\/","title":{"rendered":"Microsofts neuer Store-App-Installer mit Telemetrie-Wrapper als Sicherheitsfalle"},"content":{"rendered":"

\"Stop[English]Sie k\u00f6nnen es einfach nicht, die forschen Entwickler von Microsoft, die coole Ideen umsetzen! Ich hatte gerade berichtet, wie das Store-Team damit begonnen hat, Store-Apps neu zu packen. Es wird ein ausf\u00fchrbarer .NET-Wrapper um die Store-Apps geklatscht, der Telemetrie und weiteren Code in die App schmuggelt. Soll die Installation von Store-Apps vereinfachen und einen Klick sparen. Und so ganz nebenbei rei\u00dfen die Microsoft-Strategen noch eine DLL-Hijacking-L\u00fccke auf, die als Einfallstor f\u00fcr Malware dienen kann. <\/p>\n

<\/p>\n

Die St\u00fcmper aus Redmond<\/h2>\n

\"\"Sie k\u00f6nnen es einfach nicht, bei Microsoft! Oder anders ausger\u00fcckt: Microsoft und Sicherheit ist ein Oxymoron<\/a> – gerade noch hatte ich im Beitrag US-Cyber-Experte: Microsoft ist nationales Sicherheitsrisiko<\/a> a bisserl was B\u00f6ses \u00fcber dieses Microsoft geschrieben, da f\u00e4llt mir der n\u00e4chste Brocken vor die F\u00fc\u00dfe.  <\/p>\n

Der \"geniale Schachzug\" mit dem App-Wrapper<\/h3>\n

Gerade ist aufgeflogen, dass das Store-Team damit begonnen hat, Store-Apps neu zu packen. Die Apps werden mit einem ausf\u00fchrbaren .NET-Wrapper versehen, der Telemetrie und weiteren Code in die App schmuggelt. Ich hatte im Blog-Beitrag Microsoft packt Store-Apps mit Telemetrie-Wrapper<\/a> \u00fcber diesen Sachverhalt berichtet und mich dabei \u00fcber diesen Ansatz mokiert. Ich hatte aber auch die Erkl\u00e4rungen des technischen Sachverhalts von Rudy Huyn, Principal Architect Microsoft Store \/ Copilot \/ Windows bei Microsoft nachgeschoben. <\/p>\n

Der \"Move\" Microsofts ist Entwicklern wie Rafael Rivera sauer aufgesto\u00dfen, weil deren App pl\u00f6tzlich mit einem Microsoft-Installer samt Beifang im Store auftauchen. Und mir schoss die Chip.de-Geschichte durch den Kopf, die Software aus dem Internet abgreifen, mit einem \"Installer\" verpacken und den Leuten unterschieben. Mit dem Installer kommt dann bei unachtsamen Zeitgenossen unerw\u00fcnschte Software auf das System – man spricht von Potentially Unwanted Software (PUP), die von Sicherheitsl\u00f6sungen wie dem Defender geblockt werden kann. <\/p>\n

Cool, genial oder einfach nur \u00fcbergriffig?<\/h3>\n

Mein Blog-Beitrag Microsoft packt Store-Apps mit Telemetrie-Wrapper<\/a> greift den Sachverhalt auf, ist aber nicht \u00fcberall auf Beifall gesto\u00dfen. Oliver hat sich hier<\/a> dar\u00fcber ausgelassen. Und der Kollege von deskmodder.de hat sich in diesem Kommentar<\/a> darauf zur\u00fcckgezogen, dass ich in meinem Blog-Beitrag \"einer falschen Einsch\u00e4tzung\" unterlegen bin. <\/p>\n

Wenn ich es richtig verstanden habe, wird durch den .exe-Installer die M\u00f6glichkeit geschaffen, dass man die Anwendungen nun direkt von einer Webseite installieren kann. Der Installer bewirkt dann, dass die eigentliche App aus dem Microsoft Store heruntergeladen wird und der Benutzer einen Klick spart. \"Notwendig\" wird dieser App-Installer, weil man dem Nutzer einen Mausklick auf eine Schaltfl\u00e4che Installieren <\/em>sparen will. <\/p>\n

Man kann sich nat\u00fcrlich der Einsch\u00e4tzung anschlie\u00dfen, dass die Klick-Optimierungsl\u00f6sung von Microsoft \"die beste Erfindung seit geschnitten Brot\" darstellt. Da habe ich keine Probleme mit, wenn alle Welt das will, bitte sch\u00f6n. Ich halte es zwar immer noch f\u00fcr hinrissig, einen Wrapper um irgend etwas zu basteln, um das Ergebnis dann als installierbare .exe-Datei verteilen zu k\u00f6nnen, die bei der Ausf\u00fchrung dann etwas aus einem Store herunterl\u00e4dt, was man auch direkt erledigen k\u00f6nnte. <\/p>\n

Aber egal – nur sollte man die Hoffnung haben, dass die Entwickler einmal im Leben etwas richtig machen. Aber die Hoffnung stirbt bekanntlich zuletzt und bei Microsoft sowieso. Denn die Leute haben gleich die n\u00e4chste Sicherheitsl\u00fccke mit implementiert.<\/p>\n

DLL-Hijacking vom Feinsten<\/h2>\n

Ich gestehe, ich habe mir die Details der Microsoft-L\u00f6sung am Wochenende nicht angeschaut. Aber eigentlich h\u00e4tte ich es besser wissen m\u00fcssen und das Ganze aus dem Blickwinkel des DLL-Hijacking mal pr\u00fcfen sollen. Rafael Rivera hat das wohl kurz gemacht und weist in nachfolgendem Tweet<\/a> auf die Implikationen des Microsoft Installer-Wrappers hin.<\/p>\n

\"Microsoft's<\/a><\/p>\n

Es ist das alte Problem: Die Entwickler beherrschen ihr Gesch\u00e4ft nicht und haben mit dem App-Installer-Wrapper einen DLL-Hijacking-Helper vom Feinsten gebastelt. Ein Angreifer muss im Download-Ordner lediglich eigene Dateien der Art ncrypt.dll, cryptsp.dll, cryptbase.dll, bcrypt.dll, msvcp140_clr0400.dll, profapi.dll, en\\StoreInstaller.resources.dll, d3d9.dll<\/em>, etc. ablegen und warten. Sobald der Installer ausgef\u00fchrt wird, l\u00e4dt dieser die betreffenden DLLs. <\/p>\n

\"DLL-Load-Error\"<\/p>\n

Ich hatte keine DLL zur Verf\u00fcgung, habe daher mal eine Datei ncrypt.dll<\/em> per Texteditor fabriziert und dann in den Ordner gespeichert, aus der .exe-Installer (hier EarTrumpetInstaller.exe<\/em>) ausgef\u00fchrt wird. Obiges Dialogfeld ist dann die Fehlermeldung, die beim Aufruf erscheint, weil meine .DLL halt ung\u00fcltig und ein Fake war. Es zeigt aber, dass der Installer versucht, die DLL aufzurufen. Rivera hat eine DLL-Datei gebaut, die sich dann mit einem kleinen Dialogfeld meldet (siehe obiger Tweet). <\/p>\n

Das Ganze ist unter dem Begriff DLL-Hijacking bekannt: Windows sucht im Ordner des ausgef\u00fchrten Programms und in bestimmten Pfaden nach den angegebenen DLL-Bibliotheksdateien. Erst wenn diese dort nichts gefunden werden, schaut Windows in den eigenen Systemordnern nach und l\u00e4dt die Bibliotheken. Das erm\u00f6glicht Malware aber den Mechanismus auszunutzen, indem eine entsprechende DLL im Download-Ordner platziert wird. Die DLL wird dann f\u00e4lschlich vom ausgef\u00fchrten (Installer-)Programm mit geladen und ausgef\u00fchrt. <\/p>\n

 \"DLL<\/a><\/p>\n

Will Dormann weist in obigem Tweet<\/a> auf seinem Blog-Beitrag Carpet Bombing and Directory Poisoning<\/a> zum Thema hin, wo er die Hintergr\u00fcnde erkl\u00e4rt. Man m\u00f6ge bitte nie irgendwelche Dateien in einem Download-Ordner, aus dem ein Installer ausgef\u00fchrt wird, platzieren. Man kann es auch etwas anders sehen: Wenn die Entwickler bei Microsoft ihren Job beherrschen w\u00fcrden, h\u00e4tten sie einen voll qualifizierten Pfad zu den Systemordnern angegeben, aus denen die vom Installer ben\u00f6tigten DLL-Dateien zu laden sind. Hat man aber nicht, sondern verl\u00e4sst sich auf die Windows-Standards. Was soll schon schief gehen? <\/p>\n

Aber was rege ich mich auf – halten wir es doch wie Oliver hier<\/a> meint: \"Wenn ihr sonst keine Probleme habt\u2026 Das schlimmste \u00fcberhaupt Denkbare, ja gar Unverstellbare (f\u00fcr so manche\u2026) habt ihr gar nicht erw\u00e4hnt: Ihr m\u00fcsst Windows nutzen, und es wird tats\u00e4chlich Code von Microsoft ausgef\u00fchrt (der lokale Installer u. v. m.), wenn ihr Software unter Windows installiert. Noch dreister: das gilt sogar f\u00fcr selbst heruntergeladene Installer \u2013 au\u00dferhalb des Store<\/em>.\" Wo er Recht hat, hat er Recht – und sein Ratschlag \"Herrje, nehmt doch einfach Linux und gut ist\" hat unfreiwillig etwas komisches und einen wahren Kern. <\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sie k\u00f6nnen es einfach nicht, die forschen Entwickler von Microsoft, die coole Ideen umsetzen! Ich hatte gerade berichtet, wie das Store-Team damit begonnen hat, Store-Apps neu zu packen. Es wird ein ausf\u00fchrbarer .NET-Wrapper um die Store-Apps geklatscht, der Telemetrie und … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4346,4328,4325],"class_list":["post-294656","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-app","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294656","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=294656"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294656\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=294656"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=294656"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=294656"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}