Alternativer Datenstrom (ADS): Sicherheitslücke im Windows-Dateisystem

Alternative Datenströme (ADS) sind eine Funktion des NTFS-Dateisystems, die es ermöglicht, zusätzliche Daten in einer Datei zu speichern, ohne deren ursprünglichen Inhalt zu verändern. Diese zusätzlichen Daten befinden sich in alternativen Datenströmen, wie beispielsweise dem Ressourcenstrom, der Metadaten enthält. Ein gängiges Beispiel ist die Vorschau-Miniaturansicht, die für bestimmte Dateitypen angezeigt wird. Angreifer nutzen ADS aus, um Schadsoftware zu verstecken, indem sie schädliche Nutzdaten in den alternativen Datenstrom einer Datei einbetten. Diese Technik umgeht herkömmliche Antivirensoftware und statische Scan-Tools, da die Schadsoftware für Standard-Dateibetrachter verborgen ist. Die Schadsoftware kann eine ausführbare Datei sein, die in einer scheinbar harmlosen Datei wie einem Textdokument versteckt ist. Selbst wenn die Hauptdatei leer ist, existiert die versteckte ausführbare Datei innerhalb ihres ADS. Der Zugriff auf und die Ausführung dieser versteckten Schadsoftware erfordert oft erhöhte Rechte, die möglicherweise durch Techniken wie die Ausnutzung von UAC-Schwachstellen erlangt werden. Der Angreifer könnte dies dann nutzen, um schädlichen Code während einer Windows-Update-Prüfung auszuführen. Dies unterstreicht die Sicherheitsrisiken im Zusammenhang mit ADS und die Notwendigkeit fortschrittlicher Sicherheitsmaßnahmen. Das Verständnis von ADS ist entscheidend für die Identifizierung und Eindämmung dieser Art von Bedrohungen.