DenK hat geschrieben:Kann mir mal jemand grob erklären wie so ein möglicher Angriff ablaufen würde? Wir da der Codec angegriffen, der auf dem System installiert ist? Oder ein QT File auf der Festplatte? Oder muss das File gerade abgespielt werden? Wird der QT Player angegriffen? Oder eine QT File das gerade im Browser läuft? Und gilt das für alle Codecs im QT Container?
Das läuft so ab:
- Auf einem Windows-PC ist Quicktime installiert. Quicktime ist nicht nur der Quicktime Player, sondern eine ganze Softwarebibliothek zum Abspielen und Abspeichern diverser Video- und Audioformate.
- Verschiedene Programme (darunter Premiere, After Effects, Avid, Edius, Vegas, Resolve - aber eben auch Webbrowser mit installiertem QT-Plugin) greifen auf die QT-Bibliothek zurück, um bestimmte Video- und Audioformate zu öffnen, abzuspielen und zu speichern. Ohne installiertes QT werden viele dieser Formate nicht einmal erkannt. Welche genau, hängt jeweils von der Software ab. Keine der o.g. Programme liest ProRes ohne QT, Resolve kann nicht einmal mp4/h264 ohne QT lesen und schreiben.
- Wenn diese Programme beim Öffnen und Abspielen auf QT zugreifen, übernimmt QT faktisch das Kommando: Tatsächlich spielt nicht Premiere oder Avid, sondern die QT-Bibliothek das entsprechende Format ab. (Deshalb nützt Videoanwendern der Ratschlag, den QT-Player und die QT-Browser-Plugins zu deinstallieren, wenig bis nichts.)
- Videodateien, die von QT abgespielt werden, lassen sich durch ein paar manipulierte Bits so präparieren, dass sie QT beim Öffnen oder Abspielen aus der Bahn werfen. Dabei kommt QT so ins Schleudern, dass es Programmcode ausführt, der in die Videodatei selbst eingeflickt ist.
- Dieser Programmcode kann z.B. eine Malware sein, die erst alle auf dem Rechner liegenden .mov-Dateien durchsucht, um den eigenen Schadcode hineinzuflicken und dann anschließend als Erpressungstrojaner Daten auf dem Rechner verschlüsselt. Oder er löscht gleich alle Daten auf der Festplatte.
- Die Malware hat zwar nur Nutzer-, keine Administratorrechte auf dem PC und kann daher nicht das Betriebssystem selbst angreifen. Aber es reicht, dass alle Daten des Anwenders nun ausspoiniert, gelöscht und manipuliert werden können.
- Der Programmcode in der Videodatei muss nicht komplex oder lang sein, sondern braucht nur aus ein paar Bytes zu bestehen, die den eigentlichen Schadcode aus dem Internet nachladen und ausführen.