Tipp #1 vorweg: Niemals einen unbekannten USB-Stick anstecken!
Vor über 20 Jahren haben USB-Sticks die unhandlichen und notorisch unzuverlässigen Disketten abgelöst. Seit Anbeginn der Entwicklung leidet die Grundstruktur der vielseitigen USB-Schnittstelle jedoch an erheblichen Schwachstellen. Es gibt nur ungenügende Sicherheitsvorkehrungen gegen Missbrauch und Täuschung.
Bereits 2014 wurde auf der Black-Hat Konferenz darauf hingewiesen, dass harmlose USB-Geräte einfach umprogrammiert und sich als schädliches Gerät verbinden können. Getauft wurde diese Art von Attacken „Bad USB“. [1,2] In verschiedenen Szenarien kann sich ein USB-Stick z.B. als Tastatur oder ein anderes Eingabegerät registrieren und so unter dem aktuellen Benutzer-Account beliebige Befehle in das System einbringen.
Welche Gefahren können von USB-Sticks ausgehen?
2016 verteilte ein Forscher von Google rund 300 USB-Sticks auf öffentlichen Plätzen. Besonders beliebt waren die Parkplätze und Eingangsbereiche von Unternehmen. Sein Experiment war recht erfolgreich: Ca. 50% der Datenträger wurden von den Anwendern angesteckt und die darauf enthaltenen Dateien geöffnet. [3] Vergleichbare Szenarien sind für die verschiedensten Arten von Schadsoftware denkbar:
- Umleiten des Anwenders auf gefälschte Websites, um vertrauliche Daten abzugreifen
- Ausnutzen von Sicherheitslücken in Anwendungen durch Ausführung infizierter Daten
- Vortäuschen von Eingabegeräten und Ausführen von Aktionen und Befehlen als Benutzer
Das ist jedoch bei weitem nicht alles, was technisch möglich und denkbar ist. Israelische Sicherheitsforscher haben bereits im Jahr 2018 29 verschiedene Arten beschrieben, wie Angreifer USB-Geräte verwenden könnten, um die Computer der Benutzer zu kompromittieren. [4] All diese Angriffe können nicht nur mit USB-Sticks, sondern auch mit modifizierten USB-Ladekabeln durchgeführt werden.
Warnung vor Kampagnen mit präparierten USB-Sticks
Anfang Jänner 2022 warnte das FBI vor einer neuen Ransomware-Kampagne. Hackergruppen versenden per Post an ausgewählte Mitarbeitende verschiedener Unternehmen USB-Sticks. Getarnt sind diese Sendungen als harmlose Informationskampagnen bekannter Absender, z.B. zur Covid-Pandemie oder als Gutscheine für bekannte Online-Shops. [5,6] Mit dem Einstecken der USB-Speichermedien helfen die Empfänger indirekt dabei, das eigene Unternehmen mit Ransomware zu infizieren.
„Eigentlich ein alter Hut“, kommentiert Markus Riegler, Head of Managed Defense bei IKARUS: „Der präparierte USB-Stick ist in Wirklichkeit eine Tastatur, der durch Plug and Play vom Betriebssystem automatisch installiert und aktiviert wird. Damit werden die darauf gespeicherten Tastenanschläge ausgeführt – als säße der Angreifer eingeloggt mit Ihrem Account vor Ihrem Rechner.“ Die Risiken sind enorm.
Empfehlungen und Informationen an Mitarbeitende
Die Erkennung der Bad USB-Attacken ist schwierig und selbst für Admins kein leichtes Unterfangen. Besonders fremde oder unbekannte USB-Sticks, aber generell auch anderes USB-Zubehör sollte immer mit Vorsicht behandelt werden.
Technisch ist es denkbar, anhand der USB-ID nur bekanntes Zubehör auf Endgeräten zuzulassen. Aufgrund der Verwaltung der vielen verschiedenen USB-Devices ist dies für viele Unternehmen jedoch nicht immer praktikabel. Zur Überprüfung eignet sich ein isoliertes Testgerät in der internen IT.
Der einfachste Weg, um das Risiko zu adressieren, ist die Sensibilisierung der Mitarbeitenden für die drohenden Gefahren sowie genaue Vorgaben, welche Geräte oder Zubehör im Firmennetzwerk verwendet bzw. nicht verwendet werden dürfen. Informieren Sie über die drohenden Gefahren und legen sie fest, dass gefundene oder empfangene USB-Zubehörteile beispielsweise zur Überprüfung in der IT abzugeben sind und keinesfalls ohne vorherige Legitimierung angesteckt werden dürfen.
Im Privatumfeld lautet die schlichte, aber effektive Expertenempfehlung: Niemals unbekannte USB-Sticks, die via Post kommen, gefunden oder auf der Straße verteilt werden, anstecken! So senken Sie das Risiko gegen Null.
Lesenswert:
26 Software-Bugs in USB-Bausteinen
Quellen: