Bundesamt für Sicherheit in der Informationstechnik

G 3.112 Unautorisierte oder falsche Nutzung von Images bei der Nutzung von Windows DISM

DISM (Deployment Image Servicing and Management) ist ein Kommandozeilenwerkzeug ab Windows Vista Service Pack 2. Mit ihm können weitreichende Konfigurationsänderungen an Windows-Installationen in Abbilddateien von Festplatten durchgeführt werden DISM ist sowohl auf Windows Image Format-Dateien (WIM) als auch auf virtuelle Festplatten (Virtual Hard Disk, VHD) anwendbar. Beide werden bei der angepassten Bereitstellung eines Windows-Systems eingesetzt. DISM kann teilweise auch auf laufende Systeme angewendet werden.

Unautorisierte Änderungen könnten an Installationsquellen oder IT -Systemen unbemerkt durchgeführt werden, entweder unabsichtlich oder durch einen Angreifer. In beiden Fällen kann der Bereitstellungsprozess gestört, die Sicherheitskonfiguration der Installationen beschädigt und auch Schadcode in Umlauf gebracht werden.

Das Windows Image Format ist ein datenbasiertes Imageformat (WIM), das Installationsquellen für Windows ab den Versionen Vista bzw. Server 2008 enthalten kann. Eine WIM-Datei kann mehrere Windows-Editionen enthalten.

Wesentliche Funktionen von DISM sind:

  • Windows Edition Servicing Commands, um das Windows Image zu ändern
  • Unattended Servicing Commands, um Änderungen ohne Benutzerinteraktion auszuführen
  • Driver Servicing Commands, um Gerätetreiber in ein Image zu integrieren
  • International Servicing Commands, um Sprachpakete anzupassen
  • Application Servicing Commands, um Anwendungen in Images zu integrieren
  • Package Servicing Commands, um Pakete in Images oder ein laufendes System zu integrieren

Bei den Unattended Service Commands kann insbesondere der Befehl /Apply-Unattended dazu genutzt werden, einzelne schadcodebehaftete Dateien in ein vorhandenes  Image einzuspielen, ohne dass dies vom verantwortlichen Administrator bemerkt wird. Dieses Feature ist insbesondere im Zusammenhang mit der optionalen Angabe einer Steuerdatei im XML-Format kritisch, da hierdurch mehrere Dateien automatisiert installiert werden können.

Die Application Servicing Commands können benutzt werden, um zu identifizieren, ob eine bestimmte Anwendung in einem Image enthalten ist. Hierzu wird beispielsweise der Befehl /Get-AppInfo verwendet. Alternativ können alle in einem Image enthaltenen Applikationen mit dem Befehl /Get-Apps gelistet werden. Die Anzeige der im Image befindlichen Dateien bietet die Möglichkeit, Angriffsversuche gegen bestimmte Versionen von Software auszuführen.

Die Befehle /Add-Package und /Remove-Package aus den Package Servicing Commands erlauben es, ganze Pakete (englisch: packages) unter Windows 7 mittels DISM zu ersetzen. Dies vereinfacht das Ersetzen von Dateien für einen potenziellen Angreifer, da mit einem Kommando mehrere Dateien auf einmal ausgetauscht werden können.

Große Sammel-Images bieten viel Spielraum für unkontrollierte Änderungen mit möglicherweise schädlichen Auswirkungen auf die spätere Installation. Einzelne Softwarekomponenten in einem Sammel-Image könnten mit /Enable-Feature und /Disable-Feature aktiviert werden. Ein Manifest oder eine zentrale Definition existiert nicht. So besteht die Gefahr, dass sich, böswillig oder fahrlässig, nicht freigegebene Änderungen in den Bereitstellungsprozess einschleichen, wodurch die Angriffsfläche der bereitgestellten Windows-Systeme unnötig vergrößert wird und die Systeme die erwartete Konformität nicht erfüllen.

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK