'Malware passeert firewall via Windows-downloadservice'

De makers van malware misbruiken de background intelligent transfer service (bits) om kwaadaardige bestanden langs een firewall te smokkelen. Dit constateerde beveiligingsbedrijf Symantec na het bestuderen van enkele trojans die eind maart in Duitsland opdoken.

Bits wordt als downloadservice onder andere gebruikt door Windows Update voor het ophalen van patches en door Windows Live Messenger voor het versturen van bestanden. De component is standaard beschikbaar in Windows XP, Vista en Server 2003, en kan op de achtergrond bestanden binnenhalen via het http-protocol. Via een api kan bits actief geprogrammeerd worden, en van deze gelegenheid maken de trojans dankbaar gebruik om zo hun malware een Windows-computer binnen te kunnen smokkelen. Omdat de component een integraal onderdeel is van Windows, wordt het door beveiligingssoftware vertrouwd en malware glipt daardoor ongemerkt langs een firewall. Volgens Symantec is er op dit moment geen mogelijkheid om deze methode actief te bestrijden. Het bedrijf zegt dat bits eigenlijk alleen toegankelijk zou mogen zijn voor applicaties met een hoger privilege of dat bits alleen van vooraf goedgekeurde url's zou mogen downloaden. Opvallend is dat voorbeeldcode voor deze 'antifirewall-loader' al in 2006 in een Russisch hackersforum opdook en inmiddels goed gedocumenteerd is.

Reacties (53)

S_V 11 mei 2007 14:13

Dat is weer iets voor de volgende patch ronden.

Ik dacht ook altijd dat Bits alleen gebruikt kon worden door vooraf vastgstelde applicaties, maar dat is dus niet zo. Ik vindt het dan wel een erg grof lek.
Weet iemand of firewall's van derde dit wel filteren?

stappel_ @S_V • 11 mei 2007 14:16

Waarom een grof lek? Het is gewoon een applicatie die je kan aanroepen. ftp is toch ook geen lek? is ook een applicatie die data kan overhalen.

Remco Kramer @stappel_ • 11 mei 2007 14:27

@stappel_

Je vergelijkt appels nu met peren...
Aan ftp hangt een door jezelf controleerbaar programma (server app). BITS niet..
Bij ftp controleer jij dus wie toegang heeft tot wat en wanneer...

boe2 @Remco Kramer • 11 mei 2007 14:33

maar je hebt zowiso nog een uitvoerbaar programma nodig dat de BITS api's aanspreekt om de malware download überhaupt toe te laten.
Het blijft dus malware die je zelf in huis haalt en met adminrechten uitvoert. Of deze malware nu de rest via ftp of via BITS binnenhaalt zou geen verschil mogen uitmaken, de gebruiker merkt er even weinig van.

De fout van Microsoft hier (die overigens eenvoudig te corrigeren is) is dat hun firewall de updateservers van microsoft zou moeten vertrouwen en NIET het gehele BITS component, goed wetende dat derden deze ook mogen aanspreken.

Remco Kramer @Remco Kramer • 11 mei 2007 14:45

Het verschil alleen is als een Malware programma een ftp server opzet er bellen gaan rinkelen, BITS word volledig vertrouwd.

S_V @Remco Kramer • 11 mei 2007 14:34

Ja maar Bits zou zichzelf toch eigenlijk moeten controleren? Wanneer de download die via Bits binnenkomt niet van MS is moet het gewoon geblokkeerd worden. Anders kun je dus, zoals nu van alles binnenhalen doormiddel van Bits.

Dat bedoel ik eigenlijk te zeggen ja

mieJas @Remco Kramer • 11 mei 2007 14:56

maar je hebt zowiso nog een uitvoerbaar programma nodig dat de BITS api's aanspreekt om de malware download überhaupt toe te laten.

Daarbij komt dat de crap die je download ook door een virusscanner kan worden tegengehouden.

S_V @stappel_ • 11 mei 2007 14:22

Als ik het goed begrijp gebeurd er dus dit:

Je kunt het systeem gewoon een dowload opdracht geven doormiddel van een api. Vervolgens wordt die opdacht uitgevoerd en wordt er niet gecontroleerd waar die download vandaan komt.
Is wel een beetje vragen om problemen, of niet?

Milt @S_V • 11 mei 2007 15:12

Ik zie echt het probleem niet. Het is toch niks anders dan dat ik iets met met browser download. Een firewall / virusscanner moet gewoon al het netwerkverkeer controleren.

johnbetonschaar @S_V • 11 mei 2007 17:13

Ik zie echt het probleem niet. Het is toch niks anders dan dat ik iets met met browser download. Een firewall / virusscanner moet gewoon al het netwerkverkeer controleren.

Dat is het dus niet, en dat staat ook in het artikel. Die BITS server is een systeemproces dat buiten de firewall hooks van het OS omgaat. Met andere woorden: een 3rd party firewall die op de bedoelde manier gemaakt is kan dit verkeer dus niet blokkeren of controleren.

Verwijderd @S_V • 11 mei 2007 17:58

Gewoon geen trojans installeren!

Dat daar niet eerder iemand op kwam.

Verwijderd @S_V • 11 mei 2007 17:25

Er hoeven helemaal geen "hooks" te worden gebruikt, het is gewoon over poort 80 en het is een bekende applicatie.

Hiervoor moet al wel een trojan op je pc installed zijn die dan BITS gebruikt om nog meer slechte code te downloaden, technisch gezien is je computer dan al verloren!

Gewoon geen trojans installeren!

Larsie @S_V • 12 mei 2007 04:10

Dan nog, het is een verbinding die je zelf in de hand hebt (of had, als je dergelijk soort malware hebt

).

Zodra iemand van buitenaf jou pc kan laten bepalen wat ie downloaden vind ik het echt een lek. Dit is wederom weer Malware. Malware is gewoon te voorkomen met een gezond verstand (net als de meeste virussen).

Malware is gewoon onontkoombaar, er blijft altijd een grote groep die dom weg op 'ja' of 'ok' drukt. Waarom zou Microsoft hier nou aandacht aan moeten besteden? (Ik impliceer niet dat er géén aandacht aan moet worden besteed!)

Zelfs ik kan nog malware schrijven, in een batch bestand:

"format c:"

Uiteindelijk is een computer toch een aparaat dat dingen voor je uitvoert (code/programma's). Dat jij hem onbewust opdraagt om malware te draaien is niet de schuld van het OS

Althans ik kan er naast zitten, is ook alweer een jaartje geleden dat ik voor het laatst Windows gebruikte

edit: typo

Verwijderd @stappel_ • 11 mei 2007 14:36

Natuurlijk is ftp een lek. Waarom anders sftp?

Verwijderd @Verwijderd • 11 mei 2007 21:27

Nee ftp is geen lek, je kunt hiermee door middel van netwerksniffers de inloggegevens zien, met een s ervoor wordt het wat moeilijker.

koelpasta @S_V • 11 mei 2007 14:20

Mischien een optie om de BITS service uit te zetten?
Heb het al jaren zo staan en geen probleem met bandbreedteindeling.
Grootste probleem op mn adsl lijntje is dat torrents de upload verstikken maar de meeste clients hebben daar een eigen management voor.

Xenan @koelpasta • 11 mei 2007 14:57

BITS is iets anders dan QoS.

koelpasta @Xenan • 11 mei 2007 15:35

"BITS is iets anders dan QoS."

Dat is waar maar beide hebben als reden van bestaan het managen van netwerkresources.

QoS doet dat op IP niveau niveau, BITS doet het net onder de applicatielaag (gelolof ik).
Hierdoor zullen programma's die BITS gebruiken een lagere prioriteit (background) krijgen dan 'normale' programma's.

Wat ik wil zeggen is dat er (i.i.g. bij mij) geen reden is om dingen op de achtergrond binnen te halen aangezien ik altijd wel resources over heb.

De off-topic mod vind ik dan ook een beetje scheef.

Gert @S_V • 11 mei 2007 14:20

Het feit dat een applicatie dat doet betekent dat er al iets niet in de haak is.

SKiLLa 11 mei 2007 14:23

Nog frappanter is dat b.v. de Microsoft.Net Building Blocks al voorbeeldcode heeft voor auto-updates middels BITS.

Ook kunnen apps heel makkelijk zelf exclusions in de Windows Firewall toevoegen; sommige legitieme apps doen dat in de installer al - zonder enige waarschuwing van de app of de Windows Firewall). Dit geldt in mindere mate ook voor veel gebruikte 3th party firewalls (zoals Norton, etc.) ...

Gert @SKiLLa • 11 mei 2007 14:27

Daarom ben je ook administrator, omdat je weet waar je mee bezig bent.

the_stickie @Gert • 11 mei 2007 14:42

Niet elke pc heeft een administrator in de zuivere zin van het woord

Gebruikers met administratorrechten

Paul C 11 mei 2007 14:19

Er heeft ook iig in de Nederlands C't magazine ooit een uitgebreid artikel gestaan over hoe je Bits kunt gebruiken om bestanden te downloaden. Dat is al een hele tijd geleden en er stond natuurlijk niet bij dat het een manier was om de firewall te omzeilen, maargoed, dat kan een hacker zelf ook wel bedenken...

Roko @Paul C • 11 mei 2007 14:42

Je hebt zelfs mooie GUI's waarmee je via BITS zelf files kunt op/downloaden. Het mooie is dat je er bijna niets van merkt omdat het alleen "ongebruikte" netwerk capaciteit gebruikt. Het is dus niet voor de speedfreaks.

Koffie 11 mei 2007 15:48

En als Microsoft besloten had BITS zo gesloten te houden dat niemand behalve MS zelf toegang tot BITS kon verkrijgen, zat iedereen nu te janken dat Microsoft alles gesloten houd en geen API's deelt.

Als ik nou een .exe schrijf die ongemerkt een virus via Firefox kan downloaden, mag ik die dan ook afzeiken ?

robin1979 @Koffie • 11 mei 2007 15:56

Op UNIX is het er ook al.. /usr/bin/wget ... Daar kun je ook ongemerkt bestanden mee downloaden!

Verwijderd @robin1979 • 11 mei 2007 17:11

Op UNIX is het er ook al.. /usr/bin/wget ... Daar kun je ook ongemerkt bestanden mee downloaden!

Ik hoop dat dat sarcastisch was bedoeld?

Verwijderd @Koffie • 11 mei 2007 16:08

Wel als jij dat samen met een veelgebruikt OS verscheept ja.

KoKro @Koffie • 11 mei 2007 16:17

Afzeiken kan geen doel op zich zijn...

Al eerder zijn er voorbeelden getoond van malware die de standaard browser (welk merk dan ook) om contact te leggen met (malafide) servers over HTTP. Omdat de browser doorgaans open staat voor HTTP verkeer zonder beperking van IP adres of hostnaam kan je daar leuke dingen mee doen. (Scherm onzichtbaar maken en dan de HTML van het scherm scrapen en zo)

Natuurlijk is BITS bedoeld voor patchen van allerlei (dus ook niet Microsoft) produkten. De "I" staat voor intelligent en (mede daardoor) vind ik het wel kwalijk dat ale het verkeer zomaar wordt doorgelaten. Je verwacht toch wel een eenmalige vraag om toestemming van BITS dat applicatie X iets van server Y.Z mag ophalen . Dat de microsoft servers dan open staan voor iedere applicatie vind ik dan nog aanvaardbaar.

S_V 11 mei 2007 15:09

Ik zie het al voor:
'plop' Ballonnetje onderaan de startbalk:
"Alle malware is geïnstalleerd wilt u opnieuw opstarten?"

Gyske 11 mei 2007 16:08

Voor degenen die wat meer willen lezen of zelf een beetje met de BITS-api willen experimenteren heeft MS enkele artikelen staan op MSDN (inclusief demo programma's met source code):
Using Windows XP Background Intelligent Transfer Service (BITS) with Visual Studio .NET
Write Auto-Updating Apps with .NET and the Background Intelligent Transfer Service API

Dizzy Grizzly 12 mei 2007 10:58

Even voor de duidelijkheid de feiten op een rij zetten daat ik in vele posts hierboven zie dat er veel verwarring is.

Bits is slechts en der vele applicaties die via de API geprogrameert kan worden. Doch alleen van 'binnen' en door de gebruiker zelf "geauthoriseerden" software. Symantec is al lange tijd op oorlogs pad tegen Microsoft (MS) en gebruikt hun eigen tekortkoming af als kritiek op tegen MS. Pure propaganda ten koste van anderen. De taak van elk antivirus is om patronen in het geheugen te herkennen die misbruik maken van de vele eerlijke "services" die onder het OS samenwerken. Dat Symantec voordat een Malware applicatie de bits gebruikt hem niet herkent en ook de "gedownloade" bestanden niet herkent na aankomst is een zeer zwak punt indien er niet binnen enkele uren nieuwe anti virus defnities zijn die deze geheugen patronen herkennen.

Ik ben zelf programeur en behartig het algemeen belang dat all eerlijke services met elkaar kunnen samenwerken. Herinneren jullie de dagen nog van DOS 5.0 toen elk bedrijf o.a. ook zijn eigen printer drivers etc. moest schrijven? Waarom het wiel weer opnieuw uitvinden? Willen jullie veel minder voor veel meer geld?
Vele tweakers hier plaatsen veel kritiek over te weinig openheid door MS. Maar nu MS openheig geeft aan meerdere comunicatie protocolen (voor bits zie link > http://msdn2.microsoft.com/en-us/library/aa362827.aspx) wil niet zeggen dat dat dit een bug van MS is zoals hier en daar gesugereerd wordt.
Op die manneier worden binnenkort kabel fabrikanten aangeklaagd daar hun kabels worden (mis)gebruikt door o.a. Malware etc. en dus niet veilig zijn. Daar hebben ze overigens wel gelijk in alhoewel ze de klok wel horen luiden maar niet weten waar de klepel hangt.
Veiligheid is belangrijk maar hier worden mensen bang gemaakt door symantec met halve waarheden voornamelijk uit eigen belang. Ik heb Symantec antivirus jaren lang gebruikt. Zit op een groot maar niet onderhouden glas netwerk met 1000 particuliere PC's in 1 workgroup (dus zonder centraal systeem geheer). 5 minuten zonder antivirus en je PC is al gehackt indien niet goed afgesteld. Maar symantec maakt je bang met elke paar seconden een loos alarm daar indien je OS goed is afgesteld met de laatste updates alle bekende virussen ook zonder antivirus geen grip op het systeem kunnen krijgen tenzij de gebruiker een fout maakt. Elke paar seconden een waarschuwing van Symantec doet denken alsof die fantasties is. Maar de werkelijkheid is dat van die vele tien duizenden waarschuwing er maar een keer echt en virus daadwerkelijk binnendrong. Nu gebruik ik een andere antivirus die veel rustiger en daad krachtig is en niet alleen maar veel heel veel lawaai maakt zoals Symantec dat graag doet als spychologische verkoop strategie. Voor meer informatie over goede antivirus programmas volg de volgende link die enkele maanden terug op Tweakers werd gepubliceert. http://www.av-comparatives.org/

Verwijderd 11 mei 2007 14:34

Tsjonge. Het kan aan mij liggen hoor, maar ik lees dit echt met grote verbijstering. Hoe is het in godsnaam mogelijk dat Microsoft, dat toch sinds een tijdje steeds meer een imago probeert te kweken waarin veiligheid voorop staat, zo'n verschrikkelijk gat toestaat? Dit is niet eens een bug, dit is een amateuristische en triviale ontwerpfout.

Laurens-R @Verwijderd • 11 mei 2007 14:44

het ontwerp van BITS was een 'background' download systeem te maken, dat programmeerbaar is voor 3rden. Zodoende kan men gemakkelijk patch systemen ontwikkelen etc.

Dus is het ontwerp niet de oorzaak, er is gewoon een toepassing voor gevonden die slechte zaken doet met je pc.

Het is toch ook geen ontwerpfout van TCP/IP dat het een hacker in staat steld kwaadaardige pakketjes over het netwerk naar je pc te sturen?

TCP/IP is ontwikkeld om pakketjes data van A naar B te krijgen. BITS is ontworpen om data/applicaties van A naar B te krijgen. Het enige wat je er aan zou kunnen doen, is dat MS een interface aanbied voor antivirus ontwikkelaars, die hen in staat steld binnen gehaalde bestanden te scannen voordat deze permanent op de schijf worden geplaatst en worden uitgevoerd.

koelpasta @Laurens-R • 11 mei 2007 15:01

"het ontwerp van BITS was een 'background' download systeem te maken, dat programmeerbaar is voor 3rden."

Eenieder die de veiligheidsrisico's die deze zin suggereert niet inziet is een stom rund.
Nog zo eentje is de Remote Registry Service : "Enables remote users to modify registry settings on this computer"
Pardon??
Deze service staat standaard aan na installatie, net zoals Background Intelligent Download Service en nog een paar 'handige' services.

the_shadow @koelpasta • 11 mei 2007 15:18

Om remote het register te veranderen moet je geloof ik in het zelfde werkgroep/domain zitten en een login tot de computer hebben. Een stukje malware binnen smokkelen om reg. veranderingen te doen is makkelijker.

Bogusmeister @koelpasta • 11 mei 2007 15:21

Gelukkig schakelt een beetje tweaker deze opties uit na een fresh install.
De gemiddelde huis tuin en keuken gebruiker is wel de pisang want die kent die hele optie niet eens en druk op alles ja, accoord of next.

Dus in andere woorden tweakers zijn de pisang want wij moeten alles weer opnieuw installeren want " Hij doet het niet meer :("

Verwijderd @koelpasta • 11 mei 2007 15:57

Waar het om gaat is dat 'een beetje tweaker' niet kan weten of er misschien nog 10 of 100 van die 'handige tools' in zitten die standaard aan staan en misbruikt kunnen worden. Dan komen ze er na lang zoeken (en een verse herinstallatie van het systeem) aan tegen berichten als: "Tja dat had je kunnen weten, een beetje tweaker zet gevaarlijke optie 'x', 'x+1' t/m 'x+100' uit."

En optie 'x+101' dan?

koelpasta @koelpasta • 11 mei 2007 15:40

"Om remote het register te veranderen moet je geloof ik in het zelfde werkgroep/domain zitten en een login tot de computer hebben."

Dus moet je maar wachten tot iemand daar omheen weet te fietsen?
Lekken worden altijd gevonden.
Het lijkt me dan ook niet zinnig om tools standaard te hebben draaien die het (al dan niet op afstand) manipuleren van je systeem mogelijk maken.

Verwijderd @Laurens-R • 11 mei 2007 15:00

Lijkt mij dat een beetje antivirus dit wel doet.

BramT @Laurens-R • 11 mei 2007 15:00

Ja doeg. Als je tegenwoordig iets programeert (wat dan ook) en het wordt uiteindelijk (ook) niet gebruikt zoals het bedoeld is (en zelfs om kwaad te doen) dan moet je achteraf niet gaan huilen. Het is ontzettend naief om te denken dat 'jouw stukje code' toch nooit 'gevonden' wordt. Alles wat je maakt (en zeker in een OS) moet geschreven zijn met in het achterhoofd het idee dat het vroeg of laat misbruikt gaat worden.

De hamvraag: wat doet Vista als er hier iets mee binnengehaald wordt en het wordt in de systeemfolders gezet (waar standaard dus de UAC komt mauwen)??? Leuke test. Als UAC zoiets heeft als "och het is toch BITS, die vertrouw ik wel" dan ...

Milt @Verwijderd • 11 mei 2007 15:23

Dit is niet eens een bug, dit is een amateuristische en triviale ontwerpfout.

Wat een onzin... Dan zou het je het feit dat applicaties een socket kunnen openen ook een bug of ontwerpfout kunnen noemen.

BITS is gewoon een service binnen Windows die op verzoek van een applicatie een bestand download. Het veiligheidsrisico daarvan is niks meer dan dat een applicatie dit zelf zou doen. Het probleem zit echter in de securitysoftware die rechten toekent aan applicaties.

In bijvoorbeeld Symantec software geef je een applicatie het recht om bepaalde verbindingen te maken. Omdat BITS o.a. ook gebruikt wordt door Windows Update zal nagenoeg iedere gebruiker dus BITS de rechten hebben gegeven (of dat is wellicht al voorgeprogrammeerd) om verbindingen te maken en bestanden te downloaden. Als Symantec dan vervolgens niet het netwerkverkeer controleert en controleert WAT er gedownload wordt, dan is dat een probleem van Symantec en niet van BITS. Dat is een fundamentele fout van Symantec.

Verwijderd @Milt • 11 mei 2007 16:05

Omdat het component een integraal onderdeel is van Windows, wordt het door beveiligingssoftware vertrouwd en malware glipt daardoor ongemerkt langs een firewall. Volgens Symantec is er op dit moment geen mogelijkheid om deze methode actief te bestrijden.

Tsja. Misschien heb ik me niet duidelijk genoeg uitgedrukt, maar het gaat mij om dit stukje. Een kind kan toch bedenken dat het géén goed idee is om zo'n mogelijkheid in je OS te integreren, waarbij het blijkbaar moeilijk is voor een derde applicatie om er controle op te houden?? Maak het óf niet bruikbaar voor andere zaken dan Windows updates, óf zorg ervoor dat je verdomde goed hebt nagedacht over de beveiliging en neem alle maatregelen om beveligingsaplicaties de mogelijk te geven goed te controleren wat er gedownload wordt en waar vandaan. Als je dat niet doet vind ik dat erg dom, sorry hoor...

Milt @Verwijderd • 13 mei 2007 23:18

BITS is gewoon een service en al het netwerkverkeer en disk I/O van BITS en kan door iedere firewall / virusscanner worden gezien. Niks bijzonders aan.

Ondanks dat het artikel vermeld dat het onmogelijk is om de via BITS gedownloade malware te detecteren, geloof ik dat niet. Zelfs Symantec software zou dit moeten kunnen. Is het niet via netwerkverkeer via poort 80, dan toch wel bij het opslaan van het bestand op disk mag ik hopen.

captain007 @Verwijderd • 11 mei 2007 17:06

Dat gedoe over veiligheid en Microsoft is onzin. Dat is zeker ook de reden dat er geen password standaard op het Administrator account in Vista staat.

Wat ik mij nu afvraag is of het programma BITS ook in staat is om zonder bevestiging het gedownloade programma te starten.

anandus 11 mei 2007 15:00

Ontloopt de malware op deze manier ook de UAC?

mariusvw @anandus • 11 mei 2007 22:55

Ja, gezien het automatisch op je systeem de vrije loop heeft

Ik zet overigens altijd automatisch updaten uit.
Ik heb liever dat ik zelf eens in de week check of er iets te updaten is dan dat ik automatische acties heb.

Mooie daar bij is, stel je hebt een laptop en je heb thaast en wil afsluiten, mooi dat windows dan eerst updates gaat installeren en _daarna_ pas uit gaat...

Stel je hebt dan 8 updates, kan je de haast op je buik schrijven of met een open laptop weg gaan in je auto

Uiteraard weet ik, standby is een optie, maar niet als je bijna 200KM moet rijden en je 1.5 uur met je accu moet doen zonder stroomvoorziening op de locatie

TheBlackbird 11 mei 2007 15:21

Ahja, Windows Firewall... . Mijn firewall vraagt: "Mag programma X via programma Y verbinding maken met het internet". Probleem opgelost.

Zelfs al komt er uiteindelijk via Bits nog malware door, dan detecteert m'n anti-virus/anti-spyware of firewall het uiteindelijk nóg wel.

Er is pas een probleem als je geen anti-virus hebt, en enkel Windows Firewall. Maar dan heb je nog heel wat meer problemen dan dat alleen op termijn

@AHBdV: Veiligheid begint altijd bij de gebruiker zelf. In dit artikel wordt er dan ook vanuit gegaan dat de gebruiker niks verkeerd doet. Als je fouten van gebruikers in acht neemt, is er niks veilig

Verwijderd @TheBlackbird • 11 mei 2007 15:34

En aangezien je als gebruiker die vraag tien keer per dag krijgt, drukken ze onmiddellijk op 'toestaan, en niet meer opnieuw vragen'...

Voor de niet-tweaker daardoor absoluut geen oplossing voor het probleem.

boe2 @Verwijderd • 11 mei 2007 15:53

wat stel jij voor dan? met jouw redenering kan je best de ethernetstekker gewoon uittrekken, want dan is geen enkel programma dat een internetverbinding kan maken betrouwbaar.

Op dit item kan niet meer gereageerd worden.

'Malware passeert firewall via Windows-downloadservice'

Lees meer

Reacties (53)

Sorteer op:

Weergave: