Neue Version von Microsofts Exploit-Bremse EMET

Microsoft hat Version 5.0 des Windows-Schutzschildes EMET veröffentlicht. Damit lassen sich zusätzliche Schutzmechanismen in Windows aktivieren, die das Ausnutzen von Schwachstellen erschweren sollen. Die größte Neuerung ist "Attack Surface Reduction" (ASR) – eine Funktion mit der man festlegen kann, welche Prozesse auf welche Plug-ins zugreifen dürfen. So kann man zum Beispiel Word verbieten, das Flash-Plug-in zu laden oder Java im Internet Explorer nur auf Webseiten der Intranet-Zone laden.

EMET 5.0 kann kostenlos von Microsofts Webseite heruntergeladen werden und läuft auf Windows Vista, 7 und 8 sowie Server 2003 bis 2012. Das Tool wird unter anderem von Firmen eingesetzt, um bei bekannten Problemen mit einer Software Angriffe auf diese zu minimieren, bis ein Patch eingespielt werden kann.

Neben ASR bringt die neue Version ebenfalls eine Verbesserung der Schutzfunktion Export Address Table Filtering (EAF) mit, die damit jetzt Export Address Table Filtering Plus heißt. Export-Address-Tabellen werden bei Angriffen mittels Return Oriented Programming (ROP) genutzt, denn sie liefern Angreifern wertvolle Hinweise darauf, an welchen Speicheradressen etwa Systembibliotheken abgelegt sind. Bei ROP-Angriffen nutzen Angreifer Funktionen aus diesen Bibliotheken, um sich ihren Schadcode zusammen zu puzzeln. EAF schränkt den Zugriff auf diese Tabellen ein und erschwert so ROP-Angriffe. Mit EMET 5.0 weitet Microsoft diesen Schutz neben den Bibliotheken kernel32.dll und ntdll.dll auch auf die Exports der kernelbase.dll aus.

Nach erfolgreichen Angriffen auf EMET 4.1 hat Microsoft den Code des Tools weiter gehärtet, um es Angreifern zu erschweren, EMET selbst anzugreifen. Nach wie vor verfolgt man mit der Software vor allem das Ziel, die Kosten für die Entwicklung wirkungsvoller Windows-Exploits in die Höhe zu treiben. Wirklich hartnäckige Angriffe kann auch EMET oft nicht verhindern. (fab)