SmartScreen-Bypass CVE-2023-36025: Wenn Windows selbst die Tür öffnet

Der Vorfall

Im November 2023 veröffentlichte Microsoft einen Patch für CVE-2023-36025 – eine Schwachstelle in Windows SmartScreen, dem Schutzmechanismus, der Benutzer vor dem Ausführen potenziell gefährlicher Dateien warnt. Das Problem: Die Schwachstelle wurde bereits aktiv ausgenutzt, bevor der Patch verfügbar war – ein klassischer Zero-Day.

SmartScreen ist für viele Windows-Nutzer die letzte Verteidigungslinie. Wenn Du eine Datei aus dem Internet herunterlädst und ausführst, zeigt SmartScreen normalerweise eine Warnung an: „Windows hat Deinen PC geschützt" – mit der Option, die Datei trotzdem auszuführen. CVE-2023-36025 umging diese Warnung vollständig. Für den Nutzer sah es so aus, als hätte Windows die Datei geprüft und für sicher befunden.

Besonders prominent wurde die Schwachstelle durch den Phemedrone Stealer, einen Open-Source-Infostealer, der die Lücke sofort in seine Angriffskette integrierte. Phemedrone zielte auf Browser-Passwörter, Kryptowährungs-Wallets, Discord- und Telegram-Token sowie Steam-Konten. Doch auch andere Malware-Familien – darunter Merdoor und DarkGate – nutzten CVE-2023-36025 aktiv aus.

Microsoft bewertete die Schwachstelle mit einem CVSS-Score von 8.8 (hoch) und bestätigte, dass sie vor dem Patch bereits in freier Wildbahn ausgenutzt wurde.

Wie der Angriff funktionierte

Die Ausnutzung von CVE-2023-36025 durch den Phemedrone Stealer folgte einem mehrstufigen Muster, das die Schwachstelle geschickt in den Infektionsprozess einbaute:

Stufe 1 – Der Köder: Die Angreifer verbreiteten manipulierte URL-Dateien (.url) über soziale Medien, Phishing-E-Mails und kompromittierte Webseiten. URL-Dateien sind Windows-Verknüpfungen, die normalerweise eine Webseite im Browser öffnen. Die präparierten Versionen enthielten jedoch speziell formatierte Verweise auf Netzwerkfreigaben oder WebDAV-Server, die schadhaften Code hosteten.

Stufe 2 – Der SmartScreen-Bypass: Hier lag der Kern der Schwachstelle. Normalerweise hätte Windows SmartScreen beim Öffnen einer .url-Datei aus dem Internet eine Warnung angezeigt. Doch durch eine spezielle Formatierung der URL – insbesondere unter Verwendung bestimmter Parameter und Zeichenketten – konnte die SmartScreen-Prüfung komplett umgangen werden. Die Datei wurde ausgeführt, als käme sie von einer vertrauenswürdigen Quelle. Keine Warnung, kein Hinweis, kein Schutz.

Stufe 3 – Der Dropper: Die .url-Datei verwies auf eine Kontroll-Panel-Datei (.cpl) auf einem vom Angreifer kontrollierten Server. CPL-Dateien sind im Grunde DLL-Dateien, die Windows als Systemsteuerungselemente ausführt. Beim Öffnen wurde rundll32.exe – ein legitimes Windows-Systemtool – verwendet, um die schadhaften DLL-Funktionen aufzurufen.

Stufe 4 – Der Loader: Die CPL-Datei entpackte und startete einen PowerShell-Loader, der wiederum den eigentlichen Phemedrone Stealer von einem GitHub-Repository oder einem anderen Hosting-Dienst herunterlud. Die Nutzung legitimer Hosting-Plattformen erschwerte die Erkennung zusätzlich, da Verbindungen zu GitHub oder Discord von Sicherheitsprodukten typischerweise nicht blockiert werden.

Stufe 5 – Der Diebstahl: Der Phemedrone Stealer durchsuchte den Rechner systematisch:

• Chromium-basierte Browser: Passwörter, Cookies, Autofill-Daten aus Chrome, Edge, Brave und weiteren
• Gecko-basierte Browser: Firefox-Zugangsdaten
• Krypto-Wallets: Wallet-Dateien und Browser-Erweiterungen von MetaMask, Phantom und anderen
• Messenger-Daten: Discord-Token, Telegram-Sitzungsdaten
• Gaming-Konten: Steam-Zugangsdaten
• Systemdaten: Screenshots, Hardware-Informationen, IP-Adresse

Alle gesammelten Daten wurden komprimiert und über die Telegram-API an die Angreifer übertragen.

Warum Virenscanner versagten

Die Kombination aus Zero-Day-Schwachstelle und mehrstufigem Angriff machte Virenscanner praktisch wirkungslos:

SmartScreen war die primäre Verteidigung. Viele Sicherheitskonzepte – sowohl im privaten als auch im Unternehmensbereich – verlassen sich auf SmartScreen als erste Instanz gegen unbekannte Downloads. Wenn diese Barriere umgangen wird, fehlt oft eine gleichwertige zweite Schutzschicht.

URL-Dateien als Angriffsvektor sind untypisch. Die meisten Virenscanner konzentrieren ihre heuristischen Analysen auf ausführbare Dateien (.exe, .dll), Office-Dokumente und Skripte. Eine .url-Datei ist nur wenige Bytes groß und enthält keinen ausführbaren Code im klassischen Sinn – sie verweist lediglich auf eine externe Ressource. Viele Scanner ließen sie daher passieren.

Legitime Windows-Tools als Angriffswerkzeuge. Der gesamte Infektionsprozess nutzte rundll32.exe, PowerShell und andere Systemtools. Verhaltensbasierte Erkennung müsste diese Tools blockieren – was den normalen Betrieb von Windows unmöglich machen würde.

Open-Source-Stealer mit schneller Anpassung. Phemedrone war als Open-Source-Projekt verfügbar. Hunderte von Angreifern konnten den Code anpassen, eigene Verschleierungen hinzufügen und individuelle Varianten erstellen. Signaturbasierte Erkennung konnte mit dieser Vielfalt nicht Schritt halten.

Exfiltration über Telegram. Die Datenübertragung erfolgte über die Telegram-API – einen Dienst, den Millionen Menschen täglich nutzen. Die Verbindung zu Telegram zu blockieren wäre für die meisten Nutzer und Unternehmen nicht praktikabel.

So hätte Deep Freeze geschützt

Deep Freeze hätte den Phemedrone Stealer trotz der SmartScreen-Schwachstelle unschädlich gemacht:

Der Dropper und der Loader verschwinden beim Neustart. Die heruntergeladene CPL-Datei, der PowerShell-Loader und der Stealer selbst – alle werden bei einem Reboot von der eingefrorenen Systempartition gelöscht. Der mehrstufige Angriff wird komplett rückgängig gemacht.

Keine Persistenz möglich. Phemedrone richtete Autostart-Einträge und Registry-Schlüssel ein, um nach einem Neustart aktiv zu bleiben und regelmäßig neue Daten zu stehlen. Auf einer eingefrorenen Systempartition werden diese Änderungen beim Reboot verworfen. Der Stealer müsste bei jeder Sitzung den gesamten Infektionsprozess wiederholen.

Der SmartScreen-Bypass wird irrelevant. Die Schwachstelle erlaubt es der Malware, die erste Verteidigungslinie zu überwinden. Deep Freeze stellt aber eine Verteidigungslinie dar, die nicht von SmartScreen abhängt. Egal ob SmartScreen funktioniert oder nicht – nach dem Neustart ist der Rechner sauber.

Gestohlene Daten werden im Kontext begrenzt. Während der Stealer in einer laufenden Sitzung Daten auslesen kann, wird nach dem Neustart der Originalzustand wiederhergestellt. Der Angreifer kann keine dauerhaften Hintertüren für wiederholten Datendiebstahl einrichten.

Zero-Day-Schutz ohne Patch. Die Schwachstelle CVE-2023-36025 existierte, bevor ein Patch verfügbar war. Virenscanner und SmartScreen konnten nicht schützen. Deep Freeze hätte die Auswirkungen der Schwachstelle auch ohne den Patch begrenzt – weil die eingefrorene Systempartition unabhängig von bekannten oder unbekannten Schwachstellen funktioniert.

Die Lehre

• SmartScreen ist kein unüberwindbarer Schutz. Viele Nutzer verlassen sich auf die Windows-eigene Sicherheitswarnung und halten Dateien ohne Warnung für sicher. CVE-2023-36025 zeigte, dass diese Annahme fatal sein kann.
• Zero-Day-Schwachstellen betreffen jeden. Zwischen der aktiven Ausnutzung und dem Patch vergehen oft Wochen oder Monate. In dieser Zeit sind alle ungepatchten Systeme schutzlos – es sei denn, ein systemunabhängiger Schutzmechanismus wie Deep Freeze ist aktiv.
• URL-Dateien sind ein unterschätzter Angriffsvektor. Die wenige Bytes großen Verknüpfungsdateien werden von vielen Sicherheitsprodukten ignoriert, obwohl sie den Einstieg in komplexe Angriffsketten ermöglichen.
• Open-Source-Malware demokratisiert Cyberkriminalität. Wenn der Quellcode eines Stealers frei verfügbar ist, kann jeder eine eigene, individuell verschleierte Variante erstellen.
• Deep Freeze schützt unabhängig von Patches und Signaturen. Die eingefrorene Systempartition macht es irrelevant, ob eine Schwachstelle bekannt ist, ob ein Patch installiert wurde oder ob der Virenscanner die Malware erkennt. Nach dem Neustart ist der Rechner in jedem Fall sauber.