Signiertes Nvidia-Tool führt Schadcode aus

Der Sicherheitsspezialist Sophos hat bei der Analyse eines gezielten Hackangriffs ein mit einem speziellen Shellcode präpariertes RTF-Dokument entdeckt, in dem es um eine Stellungnahme des Tibetan Youth Congress geht. Hierbei handelt es sich um eine Nichtregierungsorganisation, die für die Unabhängigkeit Tibets kämpft.

Das Dokument nutzt die bereits vor elf Monaten gepatchte Sicherheitslücke CVE-2012-0158, über die einige Dateien auf den PC transportiert werden: Nv.exe, NvSmartMax.dll und NvSmartMax.dll.url. Dabei handelt es sich um Dateien, die zum Nvidia-Grafiktreiberpaket gehören. Nv.exe ist das Original der digital signierten Datei aus dem Treiberpaket. Wenn diese gestartet wird, lädt sie den eigentlichen Schadcode aus der NvSmartMax.dll im gleichen Verzeichnis. Nv.exe wird dann als Systemdienst registriert und aktiviert damit den Schadcode bei jedem Windows-Start. Der Sinn dieses Verfahrens: Die Angreifer hoffen, dass der Schadcode durch den Umweg über die signierte Nvidia-Datei nicht so schnell auffällt.

Die Schadfunktion richtet eine Hintertür ein, über die sich der PC fernsteuern lässt. Darüber kann dann weiterer Schadcode eingeschleust und der Rechner ausspioniert werden.

Erstens beweist auch dieser Angriff, wie wichtig eine gute Update-Disziplin ist. Die bei diesem Angriff ausgenutzte Sicherheitslücke hat Microsoft schließlich bereits im April 2012 beseitigt.

Zweitens sehen die Experten die Software-Entwickler in der Verantwortung. Ihnen sollte bewusst sein, dass ihre Software ein Einfallstor für Schadsoftware darstellen kann. Dazu hat Microsoft Ratschläge zur Verringerung der Auswirkungen oder zum möglichen Missbrauch der DLL-Ladereihenfolge sowohl für Nutzer als auch für Entwickler veröffentlicht.