Windows-Funktion setzt Exploit-Schutz außer Kraft
Forscher haben entdeckt, dass Windows mit einer Funktion zur Speicheroptimierung eines seiner Schutzschilde außer Kraft setzt, das die Ausführung von Schadcode verhindert. Dadurch sind manche Lücken unter Umständen kritischer, als bisher angenommen.
- Ronald Eikenberg
Die Sicherheitsexperten Chris Valasek und Ryan Smith haben auf der Hackerkonferenz Infiltrate erstmals öffentlich gezeigt, wie sie Heap-Exploitation Mitigation von Windows austricksen, berichtet The Register. Durch Ihre Entdeckung konnten die Experten eine inzwischen gepatchte Lücke in IIS 7.5 zum Einschleusen von Schadcode nutzen und beweisen, dass Microsoft mit seiner ersten Einschätzung, die Lücke könne maximal zu einem Absturz des Servers führen, falsch gelegen hat.
Ganz so leicht kommt man an der Heap-Exploitation Mitigation allerdings nicht vorbei: Normalerweise erkennt die Schutzfunktion Speicherbereiche, die durch Heap-Overflows manipuliert wurden und beendet den betroffenen Prozess anschließend, um Schlimmeres – die Ausführung von Schadcode – zu verhindern. Dies funktioniert in der Regel zuverlässig. Allerdings nur, solange nicht das optimierte Speicherzuordnungsverfahren Low-fragmentation Heap (LFH) zum Einsatz kommt, das Microsoft mit Vista eingeführt hat. LFH soll die Fragmentierung des Speichers reduzieren und für eine bessere Anwendungsperformance sorgen.
Die beiden Sicherheitsforscher haben entdeckt, dass LFH die Heap-Exploitation Mitigation aus bislang ungeklärten Gründen komplett außer Kraft setzt. Gelingt es einem Angreifer, eine verwundbare Anwendung zur Nutzung von LFH zu zwingen, kann er durch einen Heap Overflow unbehelligt seinen Schadcode in den Speicher schreiben und ausführen. Im Fall des IIS erreichen die Forscher dies, indem sie einige FTP-Befehle in einer bestimmten Reihenfolge an den Server schicken.
"Im Vergleich zu anderen Angriffmethoden muss man mehr über das Betriebssystem und die Anwendung wissen, um herauszufinden, wie man LFH aktiviert und zu seinem Vorteil nutzt", sagte der Forscher Chris Valasek dem Magazin. LFH ist nicht standardmäßig aktiv und es ist laut The Register für den Angreifer oftmals auch nur sehr umständlich möglich, die Funktion zu aktiveren.
Auch andere Schutzfunktionen von Windows gelten mittlerweile als ausgehebelt. Die Adress Space Layout Randomisation (ASLR) wurde etwa durch JIT-Spraying überwunden und die Data Execution Prevention (DEP) kann man durch Return Oriented Programming austricksen. (rei)
