X

Umkippende Bits können Windows-Dienste auf böse Domains führen

Umkippende Bits können dafür sorgen, dass Nutzer wie durch einen Zufall zu falschen Servern umgeleitet werden. Das Problem besteht kaum bei Aufrufen von Webseiten - durchaus aber bei automatisierten Windows-Aktionen.
05.03.2021  08:49 Uhr
Auf das Problem hat jetzt ein Sicherheitsforscher aufmerksam gemacht, der unter dem Pseudonym Remy auftritt, berichtet das US-Magazin Ars Technica. Aus Sicht des einzelnen Users besteht hier eigentlich kein besonderes Risiko, da die Wahrscheinlichkeit selbst be­trof­fen zu sein, extrem gering ist. Aus Perspektive eines Angreifers sieht die Sache aber anders aus, da aufgrund der hohen Anzahl von Rechnern, die bestimmte Verbindungen immer wieder aufbauen, doch nennenswerte Trefferzahlen zustandekommen. Die so genannten Bitflips sind in der Informatik-Praxis ein bekanntes Phänomen. Es kann vorkommen, dass aufgrund von Interaktionen mit kosmischer Strahlung, Temperatur­un­ter­schie­den oder anderen natürlichen Ursachen Bits in einem Speicher schlicht umkippen - aus einer 0 wird eine 1 oder andersherum. Das kommt gar nicht so selten vor, die Wahr­schein­lich­keit, dass sich in 4 Gigabyte Arbeitsspeicher binnen drei Tagen mindestens eine Spei­cher­zel­le spontan verändert, liegt bei 96 Prozent.

Auswirkung eins Bitflips
Wirkung eines Bitflips (Bild: Ars Technica)

In der Praxis hat das normalerweise keine Auswirkungen. Es kann aber doch vorkommen, dass genau dort ein Bit verändert wird, wo ein wichtiger Adressaufruf stattfindet. Dadurch kann sich beispielsweise in der Domain, mit der ein Windows-Systemdienst Daten von einer externen Quelle abholen will, ein Buchstabe verändert, so Remy. Ganz ähnlich, wie es bei­spiels­wei­se der Fall ist, wenn sich ein Nutzer bei der Eingabe einer Adresse vertippt.

Die Masse macht's

Im Falle von Windows.com, worunter Microsoft ver­schie­de­ne Dienste betreibt, konnte Remy im­mer­hin 14 ähnliche Domains wie Win­dnws.com oder Win­do7s.com registrieren. Binnen nur zwei Wochen sammelte er auf diesen Domains eine durchaus nennenswerte Zahl von Kon­takt­ver­su­chen, bei denen Win­dows-Rech­ner über das NTP-Protokoll nach der richtigen Zeit fragten. Immerhin tun dies weltweit hunderte Millionen Rechner in regelmäßigen Abständen, so dass die große Masse an Requests selbst so un­wahr­schein­li­che Er­eig­nis­se wie einen Bitflip in der Domain irgendwann eintreffen lässt.

Das Problem besteht hier aus Sicht des Sicherheitsforschers darin, dass man der Zeitabfrage bei Microsoft wohl keine große Sicherheitsrelevanz beimisst. Besondere Sicherungen sind hier nicht hinterlegt, so dass es im Zweifel möglich werden kann, falsche Informationen in Windows-Rechner einzuschleusen. Dies eignet sich natürlich nicht für gezielte Angriffe auf bestimmte Rechner, wohl aber für solche, bei denen es egal ist, wer zum Opfer wird - was beispielsweise beim Aufbau eines Botnetzes der Fall ist. Bei Microsoft misst man der Sache keine besondere Bedeutung bei, sortiert sie aber unter den potenziellen Angriffswegen von Phishing-Attacken ein, die ohnehin einer Beobachtung unterliegen.

Siehe auch:

☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture