Sicherheitslücke in der Befehlszeile von Windows

Hacking-Attacken über die PowerShell

| Autor / Redakteur: Martin Zeitler* / Stephan Augsten

Ohne Hintergrundwissen lässt sich kaum herausfinden, dass Angreifer ihre Befehle über die PowerShell absetzen.
Ohne Hintergrundwissen lässt sich kaum herausfinden, dass Angreifer ihre Befehle über die PowerShell absetzen. (Bild: Joos/Microsoft)

Die Microsoft PowerShell ist ein mächtiger Ersatz für die Windows-Eingabeaufforderung. Damit ist sie aber nicht nur bei Systemadministratoren beliebt. Auch Cyber-Kriminelle haben ihre Vorzüge für sich entdeckt und nutzen Schwachstellen aus.

Das vorinstallierte Windows-Programm PowerShell wird zunehmend von Cyber-Kriminellen genutzt, wie FireEye im verlinkten Bericht ausführlich aufzeigt. Bei gezielten Angriffen auf Netzwerke, beispielsweise von Unternehmen, nutzen Angreifer die Windows-Befehlszeilen-Shell, um Command-and-Control-Aktivitäten auszuführen.

Die PowerShell gehört seit Einführung von Microsoft Windows 7 SP 1 und Windows Server 2008 R2 zu den vorinstallierten Werkzeugen des Betriebssystems und erfreut sich großer Beliebtheit bei Programmierern. Das aktuelle Windows-Betriebssystem Windows 8.1 ist mit der mittlerweile vierten PowerShell-Generation ausgestattet.

Das Tool wird von einer großen Zahl von Systemadministratoren genutzt, am weitesten ist aktuell die Version PowerShell 2.0 verbreitet. Diese war die erste Variante des Programms, die von Microsoft vorinstalliert wurde. PowerShell kommt in Unternehmen aus den verschiedensten Branchen zum Einsatz.

Durch die rasante Verbreitung der Shell sind aber auch Cyberkriminelle auf das Tool aufmerksam geworden. Sie haben früh damit begonnen, sich damit auseinanderzusetzen, wie sie PowerShell für ihre Zwecke nutzen können. Es vereinfacht sowohl ihre Bemühungen, Daten zu erlangen, als auch die Anstrengungen, in dem betroffenen Netzwerk nicht aufzufallen.

Dabei bietet die PowerShell für die Kriminellen einen entscheidenden Vorteil: Die Nutzung des vorinstallierten Tools erspart die Implementierung externer Werkzeuge oder Malware. Außerdem sind diese Angriffstaktiken – einmal erlernt – dank der Vorinstallation auf unzähligen Rechnern anwendbar.

Mit der Zeit hat sich eine steigende Zahl an Netzwerk-Einbrüchen entwickelt, bei denen PowerShell genutzt wurde. Dabei hat die Verwendung der Shell nicht zum Ziel, in ein Netzwerk einzudringen. Es geht um die möglichst einfache Ausführung von Befehlen innerhalb eines Netzwerks, sobald der Angreifer eingedrungen ist.

Kriminelle suchen immer neue Wege ins System

Forscher von FireEye haben beobachtet, dass Cyberkriminelle häufig versuchen, unmittelbar oder kurze Zeit nach der erfolgreichen Kompromittierung Administratorenrechte auf einem oder mehreren Windows-Systemen zu erlangen. So ist in jüngerer Vergangenheit eine zunehmende Anzahl von zielgerichteten Angriffen beobachtet worden, in deren Zusammenhang auch PowerShell genutzt wurde.

Dabei kam das Befehlszeilen-Programm in der Phase nach der initialen Kompromittierung zum Einsatz. In der Regel konnten die grundlegenden Funktionen der Shell unentdeckt verwendet werden. Vorgehensweisen wie diese sind nur erste Versuche, mit denen Cyberkriminelle lernen, vorhandene Bestandteile des Betriebssystems auszunutzen, anstatt aufwändig externe Tools oder Malware einbringen zu müssen – die letztlich schneller erkannt werden würden.

Bei ihren Nachforschungen sind Mitarbeiter von FireEye auf verschiedene Möglichkeiten gestoßen, durch die PowerShell zur Gefahr für die Sicherheit von Unternehmensnetzwerken werden kann. Ebenso fanden sie Wege, die unautorisierte Verwendung als Administrator zu erkennen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43069119 / Security-Testing)