Dank schlechter Designentscheidungen war AutoRun einst ein riesiges Sicherheitsproblem unter Windows. AutoRun ermöglichte es hilfreich, bösartige Software zu starten, sobald Sie Discs und USB-Laufwerke in Ihren Computer einlegten.
Dieser Fehler wurde nicht nur von Malware-Autoren ausgenutzt. Es wurde bekanntermaßen von Sony BMG verwendet, um ein Rootkit auf Musik-CDs zu verstecken. Windows würde das Rootkit automatisch ausführen und installieren, wenn Sie eine bösartige Sony-Audio-CD in Ihren Computer einlegen.
Der Ursprung von AutoRun
AutoRun war eine Funktion, die in Windows 95 eingeführt wurde. Wenn Sie eine Software-Disc in Ihren Computer einlegen, liest Windows die Disc automatisch und startet das Programm automatisch, wenn eine autorun.inf-Datei im Stammverzeichnis der Disc gefunden wird in der Datei autorun.inf angegeben.
Aus diesem Grund wird beim Einlegen einer Software-CD oder einer PC-Spiele-CD in Ihren Computer automatisch ein Installationsprogramm oder ein Begrüßungsbildschirm mit Optionen gestartet. Die Funktion wurde entwickelt, um die Verwendung solcher Discs zu vereinfachen und die Verwirrung des Benutzers zu verringern. Wenn AutoRun nicht vorhanden wäre, müssten Benutzer das Dateibrowserfenster öffnen, zu der Disc navigieren und stattdessen eine setup.exe-Datei von dort starten.
Dies funktionierte eine Zeit lang ganz gut und es gab keine großen Probleme. Schließlich hatten Heimanwender keine einfache Möglichkeit, eigene CDs zu produzieren, bevor CD-Brenner weit verbreitet waren. Sie waren wirklich nur auf kommerzielle Discs gestoßen, und sie waren im Allgemeinen vertrauenswürdig.
Aber selbst in Windows 95, als AutoRun eingeführt wurde, war es nicht für Disketten aktiviert. Schließlich konnte jeder beliebige Dateien auf einer Diskette ablegen. AutoRun für Disketten würde es Malware ermöglichen, sich von Diskette zu Computer zu Diskette zu Computer zu verbreiten.
AutoPlay unter Windows XP
Windows XP hat diese Funktion mit einer „AutoPlay“-Funktion verfeinert. Wenn Sie eine Disc, ein USB-Flash-Laufwerk oder einen anderen Wechselmedientyp einlegen, untersucht Windows deren Inhalt und schlägt Ihnen Aktionen vor. Wenn Sie beispielsweise eine SD-Karte mit Fotos von Ihrer Digitalkamera einlegen, empfiehlt es sich, für Bilddateien geeignete Maßnahmen zu ergreifen. Wenn ein Laufwerk über eine autorun.inf-Datei verfügt, werden Sie gefragt, ob Sie auch ein Programm automatisch vom Laufwerk ausführen möchten.
Microsoft wollte jedoch immer noch, dass CDs genauso funktionieren. Unter Windows XP führten CDs und DVDs also immer noch automatisch Programme aus, wenn sie eine autorun.inf-Datei hatten, oder begannen automatisch mit der Wiedergabe ihrer Musik, wenn es sich um Audio-CDs handelte. Und aufgrund der Sicherheitsarchitektur von Windows XP würden diese Programme wahrscheinlich mit Administratorzugriff gestartet. Mit anderen Worten, sie hätten vollen Zugriff auf Ihr System.
Bei USB-Laufwerken, die autorun.inf-Dateien enthalten, wird das Programm nicht automatisch ausgeführt, sondern bietet Ihnen die Option in einem AutoPlay-Fenster.
Sie können dieses Verhalten immer noch deaktivieren. Es gab Optionen im Betriebssystem selbst, in der Registrierung und im Gruppenrichtlinien-Editor. Sie könnten auch die Umschalttaste gedrückt halten, während Sie eine Disc einlegen, und Windows würde das AutoRun-Verhalten nicht ausführen.
Einige USB-Laufwerke können CDs emulieren, und selbst CDs sind nicht sicher
Dieser Schutz begann sofort zu brechen. SanDisk und M-Systems sahen das CD-AutoRun-Verhalten und wollten es für ihre eigenen USB-Flash-Laufwerke haben, also erstellten sie U3-Flash-Laufwerke. Diese Flash-Laufwerke emulierten ein CD-Laufwerk, wenn Sie sie an einen Computer anschließen, sodass ein Windows XP-System automatisch Programme auf ihnen startet, wenn sie angeschlossen sind.
Natürlich sind auch CDs nicht sicher. Angreifer können leicht ein CD- oder DVD-Laufwerk brennen oder ein wiederbeschreibbares Laufwerk verwenden. Die Vorstellung, dass CDs irgendwie sicherer sind als USB-Laufwerke, ist falsch.
Katastrophe 1: Das Sony BMG Rootkit Fiasko
2005 begann Sony BMG mit dem Versand von Windows-Rootkits auf Millionen ihrer Audio-CDs. Wenn Sie die Audio-CD in Ihren Computer einlegen, liest Windows die Datei autorun.inf und führt automatisch das Rootkit-Installationsprogramm aus, das Ihren Computer heimlich im Hintergrund infiziert. Der Zweck war, Sie daran zu hindern, die Musik-Disc zu kopieren oder auf Ihren Computer zu kopieren. Da dies normalerweise unterstützte Funktionen sind, musste das Rootkit Ihr gesamtes Betriebssystem unterwandern, um sie zu unterdrücken.
All dies war dank AutoRun möglich. Einige Leute empfahlen, die Umschalttaste gedrückt zu halten, wenn Sie eine Audio-CD in Ihren Computer einlegen, und andere fragten sich offen, ob das Halten der Umschalttaste, um die Installation des Rootkits zu unterdrücken, als Verstoß gegen die Umgehungsverbote des DMCA zur Umgehung des Kopierschutzes angesehen werden könnte.
Andere haben aufgezeichnet die lange, traurige geschichte Sie. Sagen wir einfach, das Rootkit war instabil, Malware nutzte das Rootkit, um Windows-Systeme leichter zu infizieren, und Sony bekam ein riesiges und wohlverdientes blaues Auge in der Öffentlichkeit.
Disaster 2: Der Conficker-Wurm und andere Malware
Conficker war ein besonders bösartiger Wurm, der erstmals 2008 entdeckt wurde. Er infizierte unter anderem angeschlossene USB-Geräte und erstellte darauf autorun.inf-Dateien, die automatisch Malware ausführten, wenn sie mit einem anderen Computer verbunden wurden. Als Antiviren-Unternehmen ESET schrieb:
„USB-Laufwerke und andere Wechselmedien, auf die die Autorun/Autoplay-Funktionen bei jedem (standardmäßigen) Anschließen an Ihren Computer zugreifen, sind heutzutage die am häufigsten verwendeten Virenträger.“
Conficker war die bekannteste, aber nicht die einzige Malware, die die gefährliche AutoRun-Funktionalität missbrauchte. AutoRun als Funktion ist praktisch ein Geschenk an Malware-Autoren.
Windows Vista hat AutoRun standardmäßig deaktiviert, aber…
Microsoft empfahl schließlich Windows-Benutzern, die AutoRun-Funktion zu deaktivieren. Windows Vista hat einige gute Änderungen vorgenommen, die Windows 7, 8 und 8,1 alle geerbt haben.
Anstatt automatisch Programme von CDs, DVDs und USB-Laufwerken auszuführen, die sich als Discs ausgeben, zeigt Windows auch für diese Laufwerke einfach den AutoPlay-Dialog an. Wenn eine angeschlossene Disc oder ein angeschlossenes Laufwerk ein Programm enthält, wird es als Option in der Liste angezeigt. Windows Vista und spätere Versionen von Windows führen Programme nicht automatisch aus, ohne Sie zu fragen – Sie müssen auf „Ausführen“ klicken [program].exe“-Option im AutoPlay-Dialog, um das Programm auszuführen und sich zu infizieren.
Es wäre aber weiterhin möglich, dass sich Malware über AutoPlay verbreitet. Wenn Sie ein schädliches USB-Laufwerk an Ihren Computer anschließen, sind Sie immer noch nur einen Klick davon entfernt, die Malware über den AutoPlay-Dialog auszuführen – zumindest mit den Standardeinstellungen. Andere Sicherheitsfunktionen wie UAC und Ihr Antivirenprogramm können Sie schützen, aber Sie sollten trotzdem wachsam sein.
Und leider müssen wir uns jetzt einer noch beängstigenderen Sicherheitsbedrohung durch USB-Geräte bewusst sein.
Wenn Sie möchten, können Sie AutoPlay vollständig deaktivieren – oder nur für bestimmte Laufwerkstypen – damit Sie kein AutoPlay-Popup erhalten, wenn Sie Wechseldatenträger in Ihren Computer einlegen. Sie finden diese Optionen in der Systemsteuerung. Führen Sie eine Suche nach „autoplay“ im Suchfeld der Systemsteuerung durch, um sie zu finden.
Bildnachweis: aussiegal auf Flickr, m01229 auf Flickr, Lordcolus auf Flickr