Alaaaarm.. XP-Riesensicherheitsloch ..hier die Lösung

Status
Für weitere Antworten geschlossen.

Supernature

Und jetzt?
Teammitglied
Schon vor dem offiziellen Erscheinen von WindowsXP wurde an verschiedenen Stellen über das Risiko der "Manifest"-Dateien berichtet, unter anderem auch hier im Board (siehe hier).
Obwohl es absehbar war, dass sich mit diesen Dateien erheblicher Schaden anrichten lässt, wurde das Thema offenbar von niemandem konsequent weiterverfolgt. Unser Mitglied SilverSurfer99 hat das Risiko intensiv untersucht und ist zu einem erschreckenden Ergebnis gekommen:

Nie war es leichter, ein Betriebssystem durch manipulierte Dateien lahmzulegen!!!

  • Der Hintergrund
    Die Manifest-Dateien wurden eingeführt, um die Oberflächengestaltung (Menüs, Buttons etc.) von Programmen zu vereinfachen. Die Anweisungen in diesen Dateien sind in XML-Code, einer Weiterentwicklung von HTML, geschrieben. Bereits jetzt kursieren im Internet jede Menge, teilweise handgestrickte Manifest-Dateien, welche bestimmten Anwendungen das XP-typische Look&Feel verleihen.
    WindowsXP prüft beim Start jeder Anwendung, ob es zu der entsprechenden *.exe eine zugehörige *.exe.manifest gibt, und falls ja, wird diese noch vor dem Start des eigentlichen Programms verarbeitet.
  • Das Problem
    WindowsXP überprüft weder bei der Installation noch beim Aufruf einer Manifest-Datei, ob diese gültigen XML-Code enthält. Ist dies nicht der Fall, so wird das entsprechende Programm nicht etwa mit der Standard-Oberfläche gestartet, sondern XP verweigert den Start der Anwendung gänzlich. Bei Programmen, die unter Windows gestartet werden sollen, ist dies sehr ärgerlich, aber noch nicht unbedingt gefährlich. Werden aber wichtige Systemprozesse, welche während des Startvorgangs aufgerufen werden, durch Ablegen von manipulierten Manifest-Dateien an ihrer Ausführung gehindert, so führt dies zum GAU: Das Desktop-System fährt nicht mehr hoch!
    Eine präparierte explorer.exe.manifest führt zum Beispiel dazu, dass der Anwender beim Systemstart nicht mehr als den leeren Desktop zu Gesicht bekommt.
    Wer glaubt, durch die Reparaturfunktionen oder eine Neuinstallation von XP dieses Problem wieder beheben zu können, der irrt sich: Es werden nämlich lediglich die Systemdateien neu installiert, die *.manifest-Dateien bleiben erhalten! Wer nicht weiss, womit er es zu tun hat, dem bleibt nur noch "format c:\" - und das dürfte beim derzeitigen Informationsstand die überwiegende Mehrheit der XP-Nutzer sein.
  • Das Risiko
    Die Möglichkeiten, ein XP-System und darauf installierte Anwendungen zu manipulieren bzw. vollständig lahmzulegen, sind schier unendlich. Eine mit wirren Zeichen gefüllte Manifest-Datei genügt bereits, um der damit verknüpften Anwendung den Garaus zu machen. Jeder, der einen gewöhnlichen Texteditor bedienen kann, ist also im Augenblick ein potentieller XP-Viren-Programmierer.
    Die manipulierten Manifest-Dateien lassen sich leicht mittels einer beliebigen Installationsroutine, z.B. in einen netten Bildschirmschoner verpackt, auf jeden Rechner bringen. Da die Manifest-Dateien weder Code enthalten müssen noch ausführbar sind, wird kein Virenscanner Alarm schlagen. Der Systemdatei-Schutz von XP kümmert sich ebenfalls nicht um diese Dateien. XP-Anwender sind dieser potentiellen Gefahr im Augenblick schutzlos ausgeliefert!
  • Die Lösung: Manifest_Ctrl
    Eigentlich wäre die Lösung ganz einfach: Da die Manifest-Dateien nicht zwingend benötigt werden, könnte man sie im Verdachts- oder Fehlerfall einfach löschen. Voraussetzung dafür: man muss von deren Existenz erst einmal wissen. Genau an dieser Stelle setzt der von SilverSurfer entwickelte "Sicherheits-Systemabschluss" an. Beim Herunterfahren des Computers wird nach neuen oder geänderten Manifest-Dateien gesucht, bei Auffälligkeiten wird das Herunterfahren sofort unterbrochen, um dem Anwender die Möglichkeit des rechtzeitigen Eingreifens zu geben, damit das System beim nächsten Start auch garantiert wieder "hoch kommt".

    Die Einrichtung besteht aus zwei Schritten

    1.) Installation einer Microsoft-RAMDisk
    Nicht zwingend erforderlich, aber dies stellt sicher, dass die Lösung mit minimaler Systembelastung läuft. Die RAMDisk kann überdies auch für andere Zwecke verwendet werden. Zur Not kann auch eine Diskette verwendet werden, dies verzögert das Herunterfahren dann allerdings um einige Minuten.
    Die zur Installation benötigten Dateien inklusive ausführlicher Installationsanleitung sind hier erhältlich: Download (13 KB)
    Zeitaufwand: maximal 5 Minuten

    2.) Installation des "Sicherheits-Systemabschluss" von SilverSurfer
    Installation ist übertrieben, die Zip-Datei muss lediglich entpackt werden. Als Ziel wird dabei das Laufwerk angegeben, in dem Windows installiert ist (in den meisten Fällen also c:\). Es werden dabei weder Systemdateien geändert noch überschrieben!
    Download (95 KB) und Installationsanleitung (Rechtsklick - Ziel speichern unter)
    Zeitaufwand: weniger als eine Minute


Erklärung:
Für die Ausarbeitung dieser Schutzlösung und die Zusammenstellung der benötigten Tools Dank an SilverSurfer sowie Dank an alle Unterstützer, die zu dieser Community-Lösung beigetragen haben.
Von mir stammen einige erklärende Texte und die grafische Aufbereitung, damit die entwickelte Schutzlösung auch von XP-Einsteigern sicher genutzt werden kann. Die Tools, welche hier zur Verfügung gestellt werden, wurden von mehreren Personen getestet. Es werden keinerlei Systemeingriffe vorgenommen; als Schreibzugriffe auf dem Systemlaufwerk werden ausschließlich Sicherungs-/Vergleichskopien der Manifest-Dateien erstellt.
Dennoch erfolgt die Verwendung selbstverständlich auf eigene Gefahr und wir übernehmen keinerlei Garantien, weder für eine einwandfreie Funktion, noch für mögliche Schäden, die durch die Verwendung entstehen.
Es steht ausser Frage, dass die hier angebotene Lösung nur einen Behelf darstellt. Hier ist die Industrie gefordert, professionelle Lösungen zu entwickeln, sei es Microsoft selbst durch eingebaute Schutzmechanismen, welche die Installation schadhafter Manifest-Dateien verhindern, oder die Hersteller von Antiviren-Software oder ähnlicher Schutz-Tools, die ihre Prüfroutinen entsprechend erweitern sollten.



Für Diskussionen um das "manifest"-Risiko im Allgemeinen, alle Fragen zu diesem Tool und für Informationen über neueste Entwicklungen, schaut bitte hier. Schaut unbedingt dort rein, da sind verschiedene Updates zu finden!!!!
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
Oben