PowerShell Bypass: Bedeutung und welche Risiken gibt es?

PowerShell Bypass solltest du nicht so ohne Weiteres verwenden. Die PowerShell ist ein äußerst leistungsfähiges Tool, das in vielen IT-Umgebungen zur Automatisierung von Aufgaben und zur Systemverwaltung eingesetzt wird.

Doch gerade diese Leistungsfähigkeit macht PowerShell auch zu einem beliebten Angriffsziel für Cyberkriminelle. Eine besondere Schwachstelle stellt der Parameter PowerShell Bypass bei der ExecutionPolicy dar.

Was ist die Execution Policy in PowerShell?

Die Execution Policy ist ein Sicherheitsmechanismus in PowerShell, der steuert, welche Skripte ausgeführt werden dürfen. Standardmäßig ist sie oft auf Restricted gesetzt, was bedeutet, dass keine Skripte ausgeführt werden dürfen. Es gibt mehrere Stufen der Execution Policy:

Ausführungsrichtlinie	Beschreibung
Eingeschränkt	Skriptausführung nicht zulässig
AllSigned	Nur signierte Skripte dürfen ausgeführt werden,
RemoteSigned	Lokale Skripte sind zulässig, heruntergeladene müssen signiert sein
Unrestricted	Skripte können ohne Einschränkung ausgeführt werden
Bypass	Keine Einschränkungen, Warnungen oder Bestätigungen

Der Parameter -ExecutionPolicy Bypass wird genutzt, um diese Sicherheitsmechanismen zu umgehen und beliebige Skripte ohne Einschränkungen auszuführen.

Verwendung des Parameters Bypass

Der Bypass-Modus deaktiviert die Sicherheitsmechanismen der Execution Policy und erlaubt die Ausführung von Skripten ohne jegliche Warnung oder Bestätigung. Ein Beispiel für die Verwendung:

powershell.exe -ExecutionPolicy Bypass -File C:\Scripts\meinSkript.ps1

Damit können selbst Skripte ausgeführt werden, die aus unsicheren Quellen stammen oder auf Systemen mit restriktiven Richtlinien laufen. Wesentlich sinnvoller ist die Signierung von Skripten in der Windows PowerShell.

Gefahren und Missbrauch von PowerShell Bypass

Da der Bypass-Modus alle Schutzmechanismen der Execution Policy aufhebt, stellt er ein erhebliches Sicherheitsrisiko dar. Hier sind einige Bedrohungen, die dadurch entstehen.

Umgehung von Sicherheitsrichtlinien

Durch -ExecutionPolicy Bypass können selbst restriktive Sicherheitsrichtlinien umgangen werden. Das bedeutet, dass ein Angreifer bösartige Skripte ausführen kann, auch wenn die Standardrichtlinie dies verhindern sollte.

Malware- und Ransomware-Angriffe

Viele Malware-Varianten nutzen PowerShell, um sich unbemerkt im System auszubreiten. Mit dem Bypass-Modus kann Schadcode ausgeführt werden, ohne dass er durch Sicherheitsmechanismen verhindert wird. Also auch der Windows Defender schützt dich nicht 100-prozentig.

Vermeidung von Protokollierung und Erkennung

PowerShell-Sicherheitsmechanismen wie Logging oder AMSI (Antimalware Scan Interface) können von Angreifern umgangen werden. Das erschwert die Erkennung und Analyse von Angriffen.

Ausführung von Code ohne Administratorrechte

Angreifer können mit Benutzerrechten Code ausführen, der sich tiefer im System einnistet oder weitere Privilegien eskaliert.

Schutzmaßnahmen gegen Missbrauch

Um zu verhindern, dass der Bypass-Modus von Angreifern genutzt wird, sollten folgende Maßnahmen getroffen werden:

Einschränkung der Nutzung von PowerShell Bypass

Falls PowerShell nicht benötigt wird, sollte sie deaktiviert werden. Alternativ können nur signierte Skripte erlaubt werden (AllSigned).

Application Whitelisting

Werkzeuge wie Windows AppLocker oder WDAC (Windows Defender Application Control) können die Nutzung unautorisierter Skripte verhindern.

PowerShell Logging aktivieren

Die Protokollierung von PowerShell-Skripten und Befehlen sollte aktiviert werden, um verdächtige Aktivitäten zu erkennen. Die Aktivierung von Script Block Logging hilft, verdächtige Befehle frühzeitig zu identifizieren.

Einsatz von AMSI (Antimalware Scan Interface)

AMSI kann helfen, bösartigen Code zu erkennen und dessen Ausführung zu verhindern.

Mehr Tipps zur IT-Sicherheit

Checkliste IT Sicherheit – 13 unverzichtbare Tipps für mehr IT Sicherheit!

Empfohlener Beitrag

How To - Powershell Ausführungsrichtlinie ändern!

Um mithilfe der Windows PowerShell Scripte ausführen zu können, muss man die PowerShell Ausführungsrichtlinie ändern. Hierzu geht man wie folgt vor!

Zum Beitrag

Fazit

Der Parameter PowerShell Bypass ermöglicht es Administratoren, PowerShell-Skripte ohne Einschränkungen auszuführen, stellt aber auch ein erhebliches Sicherheitsrisiko dar. Er umgeht Schutzmechanismen der Execution Policy und kann für Angriffe missbraucht werden.

Daher ist eine sorgfältige Konfiguration und Überwachung von PowerShell unerlässlich, um Missbrauch zu verhindern und die Sicherheit des Systems zu gewährleisten.

Empfohlene Beiträge

How To – Powershell Ausführungsrichtlinie ändern!

Ganz einfach eine PowerShell Pause in ein Skript einbinden

PowerShell Script-Sammlung zum kostenlosen Downloaden

Einfach mit der Windows PowerShell Computername ändern

So kannst du die Windows PowerShell deaktivieren

Wie kann man einem PowerShell Skript Parameter übergeben

Windows 10 -cmd durch Powershell ersetzen

PowerShell Script in die Aufgabenplanung einbinden – einfach

Wie kann man PowerShell 7 installieren

Aufgabe mit der Windows PowerShell erstellen

PowerShell Linux – so funktioniert die Installation

Der Blogbetreiber und Autor: Markus Elsberger

Über den Autor

Mein Name ist Markus Elsberger und ich beschäftige mich mit der Administration von Windows und Linux-Systemen sowie mit diversen Themen bzgl. Netzwerktechnik. In meiner Lehrtätigkeit erstelle ich verschiedene Szenarien und teste auch verschiedene Konfigurationen, welche ich in diesem Blog festhalten möchte. Unterstütze das Blog mit einer Spende!

Löse die grundlegenden Probleme bei der Windows-Administration!
Kostenlose E-Books
(Netzwerkanalyse, Benutzerverwaltung, Festplattenkonfiguration, u. v. m.)