{"id":27789,"date":"2021-11-26T16:20:17","date_gmt":"2021-11-26T14:20:17","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=27789"},"modified":"2021-11-26T16:20:17","modified_gmt":"2021-11-26T14:20:17","slug":"trojan-source","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/trojan-source\/27789\/","title":{"rendered":"Trojan Source: Unsichtbare Schwachstellen"},"content":{"rendered":"

Experten der University of Cambridge erl\u00e4utern<\/a> eine Schwachstelle, von der laut den Forschern quasi alle modernen Compiler betroffen sind. Bei dieser neuen Angriffsmethode wird eine legitime Funktion eines Entwicklungstools verwendet, bei der der Quellcode etwas anzeigt, aber etwas ganz anderes kompiliert (die Programmiersprache in die Programmiersprache eines bestimmten Computers \u00fcbersetzt) wird. Das ist durch Steuerzeichen im Unicode machbar.<\/p>\n

\"Zeichen,

Zeichen, die die Richtung des Unicodes formatieren und f\u00fcr Angriffe verwendet werden k\u00f6nnen. Quelle<\/a>.<\/p><\/div>\n

Meistens werden Steuerzeichen nicht mit dem restlichen Code auf dem Bildschirm angezeigt (es gibt allerdings Editors, die es tun), aber diese Zeichen ver\u00e4ndern den Text auf eine bestimmte Weise. Diese Tabelle<\/a> enth\u00e4lt beispielsweise die Codes des Unicode-Bidi-Algorithmus.<\/p>\n

Wie Sie wahrscheinlich wissen, werden manche menschlichen Sprachen von links nach rechts geschrieben (z. B. Deutsch) und andere von rechts nach links (z. B. Arabisch). Wenn der Code nur eine Sprache enth\u00e4lt, ist das kein Problem. Aber wenn in einer Codezeile sowohl deutsche als auch arabische W\u00f6rter enthalten sind, stellt die Funktion Bidi override sicher, dass die Sprachen korrekt dargestellt werden.<\/p>\n

In der Studie wurde diese Art von Code auch angewendet. Zum Beispiel, um in der Programmiersprache Python den Comment Terminator von der Mitte der Linie ans Ende zu verschieben. Mithilfe von RLI-Code versetzen die Forscher nur wenige Zeichen und lie\u00dfen alles andere unber\u00fchrt.<\/p>\n

\"Beispiele

Beispiele von verwundbarem Python-Code, der bidirektionalen Code enth\u00e4lt. Quelle<\/a>.<\/p><\/div>\n

Auf der rechten Seite wird die Version angezeigt, die die Programmierer sehen, wenn sie den Quellcode \u00fcberpr\u00fcfen und auf der linken Seite wird angezeigt, wie der Code ausgef\u00fchrt wird. Die meisten Compiler ignorieren Steuerzeichen. Jeder, der den Code \u00fcberpr\u00fcft, wird denken, dass die f\u00fcnfte Linie nur ein harmloser Kommentar ist. Aber die versteckte Early-Return-Anweisung befielt dem Programm die Schritte auszulassen, die f\u00fcr die Abbuchung des Betrags erforderlich sind. In diesem Beispiel wird das Banking-Programm das Geld auszahlen, aber den Betrag nicht vom Konto abbuchen.<\/p>\n

Warum ist das gef\u00e4hrlich?<\/h2>\n

Auf den ersten Blick erscheint die Schwachstelle zu simpel, um gef\u00e4hrlich zu sein. Wer wird unsichtbare Zeichen in einen Code einf\u00fcgen, in der Hoffnung, dass die Quellcodepr\u00fcfer es nicht merken? Trotzdem ist das Problem ernst genug, um eine ID zu erhalten (CVE-2021-42574<\/a>). Vor der Ver\u00f6ffentlichung des Berichts haben die Autoren die Entwickler der g\u00e4ngigsten Compiler benachrichtigt, damit sie ausreichend Zeit haben, um die Patches f\u00fcr die Sicherheitsl\u00fccke bereitzustellen.<\/p>\n

Im Bericht werden die grundlegenden Angriffsm\u00f6glichkeiten erkl\u00e4rt. Die zwei Ausf\u00fchrungsstrategien bestehen darin, einen Befehl in einem Kommentar zu verstecken und etwas in einer Linie zu verstecken, die auf dem Bildschirm angezeigt wird. Rein theoretisch ist es m\u00f6glich genau die gegenteilige Wirkung zu erzielen: Einen Code erstellen, der wie ein Befehl aussieht, aber tats\u00e4chlich Teil eines Kommentars ist und deshalb nicht ausgef\u00fchrt werden kann. Es ist davon auszugehen, dass es auch noch kreativere Methoden f\u00fcr den Exploit dieser Schwachstelle gibt.<\/p>\n

Sie k\u00f6nnte z. B. f\u00fcr ausgefeilte Lieferkettenangriffe verwendet werden, indem ein Anbieter einem Unternehmen Code liefert, der korrekt aussieht, aber nicht so funktioniert, wie er sollte. Sobald das Produkt mit diesem Code auf den Markt kommt, kann die \u201ealternative Funktion\u201c von Dritten ausgenutzt werden, um die Kunden anzugreifen.<\/p>\n

Wie gef\u00e4hrlich ist die Schwachstelle wirklich?<\/h2>\n

Kurz nachdem der Bericht \u201eTrojan Source: Invisible Vulnerabilities\u201c (Trojan Source: Unsichtbare Schwachstellen) ver\u00f6ffentlicht wurde, kritisierte der Programmierer Russ Cox den Inhalt. Er war, um es milde auszudr\u00fccken, vollkommen unbeeindruckt. Das begr\u00fcndete er folgenderma\u00dfen:<\/p>\n