Microsoft-Härtungstool mit grafischer Oberfläche
Mit dem Tool können Anwender Software gegen bekannte Attacken abhärten – und zwar nachträglich, ohne eine Neuübersetzung des Programms.
- Daniel Bachfeld
Microsofts Enhanced Mitigation Experience Toolkit (EMET) vereinfacht in Version 2.0 die Bedienung durch eine grafische Oberfläche und unterstützt neue Schutzfunktionen. EMET soll es Entwicklern, Administratoren und experimentiertfreudigen Anwendern möglich machen, bestimmte Schutzmechanismen in fertigen Binaries zu aktivieren, auch wenn der Quellcode des Programms gar nicht vorliegt.
EMET kann mehrere Angriffstechniken verhindern oder erschweren. Mit Structured Exception Handler Overwrite Protection (SEHOP) will Microsoft das Überschreiben von (Structured) Exception-Handlern (SEH) auf dem Stack oder im Datensegment verhindern. Anders als beim Überschreiben von Rücksprungadressen mit Buffer Overflows führen Angreifer hierbei eigenen Code durch das Verbiegen von Funktionszeigern aus.
Darüber hinaus soll EMET Null Page Allocation verhindern können, die sich in Zusammenhang mit Null-Pointer-Dereferenzierungen ausnutzen lassen. Mit Microsofts Tool lässt sich auch Dynamic DEP (DDEP) in Anwendungen aktivieren. Damit kann man die Datenausführungsverhinderung zur Laufzeit an- und abschalten.
Neu sind im Vergleich zur Vorgängerversion die Optionen zur Speicherverwürfelung (ASLR) und Export Address Table Access Filtering (EAF) zum Blocken der Zugriffe von eingeschleustem Shellcode auf bestimmte APIs. Zu strenge Einstellungen können jedoch dazu führen, dass einige Anwendungen nicht mehr funktionieren. Einige der Schutzvorkehrungen lassen sich auch aushebeln, wie die Redmonder in der Dokumentation freimütig zugeben. Microsoft hat ein Video-Tutorial für EMET 2.0 zur Verfügung gestellt, das die Grundlagen und die Bedienung von EMET erklärt.
Damit sollten sich letztlich auch Anwendungen gegen Angriffe härten lassen, die von Hause aus keine der Exploit-Schutzmechanismen moderner Windows-Versionen nutzen. Der Sicherheitsdienstleister Secunia hatte Anfang Juli bemängelt, dass viele Anwendungen von Drittherstellern weder DEP noch ASLR nutzen, obwohl sie Exploits unzuverlässiger machen können.
Das bestätigen auch unabhängige Sicherheitsexperten und Exploit-Schreiber wie Charlie Miller, Jon Oberheide und Dino Dai Zovi in einem Interview auf Threatpost mit Dennis Fisher. Es sei immer schwieriger, klassische Sicherheitslücken auszunutzen, woran auch die Anti-Exploit-Funktionen ihren Anteil hätten. Man müsse immer häufiger mehrstufig vorgehen und zudem logische Fehler ausnutzen, um zum Ziel zu kommen.
(dab)
