Neuer Exploit umgeht Windows DEP

Originalartikel von Carolyn Guevarra (Technical Communications bei Trend Micro)

Die letzten Windows-Versionen (angefangen mit XP SP2 und Vista) hat Microsoft mit den Sicherheitsmechanismen Data Execution Protection (DEP) und Address Space Layout Randomization (ASLR) ausgestattet, um die Systeme vor Angriffen durch Exploits zu schützen. DEP verhindert die Ausführung von Code (einschließlich bösartigen Shellcodes) von bestimmen Regionen des Hauptspeichers (nonexecutable) aus. ASLR wiederum sorgt für ein Random-Layout von Hauptspeicherregionen, um das Erraten genauer Locations zu erschweren. Doch was passiert, wenn diese Sicherheitsmechanismen nicht sicher sind?

Genau dies musste Berend-Jan Wever, auch Skylined (der Sicherheitsforscher veröffentlichte die Heap-praying-Technik), feststellen, als er von einer neuen Exploit-Technik in einem Proof-of-Concept (POC) berichtete, die diese DEP-Funktionalität umgeht, wenn ASLR deaktiviert ist. Wever erklärt die Methode, wie DEP und ASLR mithilfe von return-to-libc-Angriffen umgangen werden, wobei der Angreifer statt des eigenen Codes vorhandenen Code, die Exploit-Anwendung oder Bibliotheksfunktionen nutzen, um den Angriff auszuführen.

Obwohl diese Funktionen die Code-Ausführung auf einem erschweren, sind sie nicht perfekt und können umgangen werden, wie sich gezeigt hat. Dabei ist es möglich, dass dieser Exploit eine bereits geschlossene Schwachstelle im Internet Explorer verwendet, doch die neue Technik könnte den Weg für neue Exploit bereiten. Außerdem hat Microsoft ASLR erst ab Vista standardmäßig aktiviert, sodass wir von weiteren Schwachstellen dieser Art in neuen Windows Versionen ausgehen.

Aufgrund der steigenden Zahl der veröffentlichten POCs sollte der Umgang mit verantwortungsvollen Veröffentlichungen mehr diskutiert werden. Öffentliche Disclosures sind derzeit ein zweischneidiges Schwert, denn sie tragen einerseits zur Bedrohungslandschaft bei und komplizieren diese zusätzlich. Andererseits schärfen sie das Bewusstsein der Öffentlichkeit für die Gefahren und zwingen Entwickler, schnell zu reagieren. Auch führen sie wiederum zu schweren Exploits. Die Anwender von Trend Micros Deep Security, sowie von OfficeScan sind vor diesen potenziellen Gefahren geschützt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*