SchwachstellenHackerangriffeCloud-Sicherheit

GhostLock: Neue Angriffsmethode sperrt Dateien durch Windows-API-Missbrauch

Von CyberDeutsch Redaktion
GhostLock: Neue Angriffsmethode sperrt Dateien durch Windows-API-Missbrauch
Zusammenfassung

Ein neues Sicherheitstool namens GhostLock zeigt eine gefährliche Schwachstelle in Windows auf: Forscher können damit eine legitime Windows-API missbrauchen, um Dateien für andere Benutzer und Anwendungen unzugänglich zu machen. Das von Kim Dvash von Israel Aerospace Industries entwickelte Konzept exploitiert die CreateFileW-API und deren Dateifreigabemodi, um exklusive Zugriffe auf Dateien zu erzwingen – sowohl auf lokalen Systemen als auch auf SMB-Netzwerkfreigaben. Besonders kritisch ist, dass für diese Attacke keine erweiterten Berechtigungen erforderlich sind; bereits Standard-Domänenbenutzer können sie ausführen. Während die Dateiblockade nach Beendigung der SMB-Sitzung oder eines Systemneustarts wieder aufgehoben wird, stellt GhostLock vor allem eine Störungsattacke dar, die Unternehmen lahmlegen kann. Für deutsche Unternehmen und Behörden ist dies relevant, da Angreifer diese Technik als Ablenkungstaktik während Datendiebstählen oder lateralen Bewegungen einsetzen könnten. Besonders problematisch: GhostLock erzeugt nur legitime Dateizugriffe und wird daher von vielen Sicherheitsprodukten übersehen. IT-Teams müssen sich auf spezifische Erkennungsmetriken auf der Speicherplattformebene verlassen, um diese neuartige Bedrohung zu erkennen.

Das GhostLock-Tool nutzt einen simplen, aber effektiven Ansatz: Es missbraucht den ‘dwShareMode’-Parameter der Windows-CreateFileW()-Funktion. Wenn eine Datei mit dem Parameter dwShareMode = 0 geöffnet wird, erhält der Prozess exklusiven Zugriff, während alle anderen Prozesse und Benutzer eine ‘STATUS_SHARING_VIOLATION’-Fehlermeldung erhalten.

Der Angreifer öffnet rekursiv eine große Anzahl von Dateien und hält die Dateizugriffe offen. Solange diese “Handles” aktiv sind, können andere Anwendungen und Benutzer nicht auf die Dateien zugreifen. Der Effekt kann durch simultane Angriffe von mehreren kompromittierten Geräten verstärkt werden – der Angreifer kann ständig neue Zugriffe erwerben, sobald alte Prozesse beendet werden.

Es gibt jedoch eine natürliche Grenze: Sobald die SMB-Session beendet, der betroffene Prozess getötet oder das System neu gestartet wird, schließt Windows automatisch die Handles und stellt den Dateizugriff wieder her. Dies unterscheidet GhostLock fundamental von Ransomware-Angriffen – es handelt sich primär um eine Störungsattacke (Denial-of-Service), nicht um Datenverlust.

Für IT-Sicherheitsteams ist GhostLock besonders tückisch, weil es von herkömmlichen Security-Lösungen oft nicht erkannt wird. Während viele Sicherheitsprodukte auf Massenveränderungen oder Verschlüsselungsoperationen fokussieren, erzeugt GhostLock bloß eine große Menge legitimer Dateizugriffs-Anforderungen. Das Tool wird von bestehenden EDR-Systemen, SIEM-Lösungen und Netzwerk-Flow-Analysen häufig übersehen.

Der Forscher weist darauf hin, dass nur eine Metrik zuverlässig diese Angriffe identifiziert: die Per-Session-Anzahl offener Dateien mit ShareAccess = 0 auf der Dateiserverebene – ein Wert, der in Storage-Plattform-Management-Schnittstellen verfügbar ist, nicht aber in Windows-Ereignisprotokollen oder EDR-Telemetrie.

Davash hat im GhostLock-Whitepaper SIEM-Abfragen und NDR-Detektionsregeln bereitgestellt, die deutschen und anderen Organisationen als Basis für eigene Detektionsmechanismen dienen können. Für Unternehmen in Deutschland bedeutet dies: Prüfung der SMB-Share-Logging-Funktionen sollte Priorität haben, besonders für kritische Dateisysteme. Die fehlende Erkennung durch gängige Tools unterstreicht die Notwendigkeit, Speicherplattform-Monitoring in die Sicherheitsarchitektur zu integrieren.

Ähnliche Artikel