Windows-Härter überführt SSL-Spione

Microsofts Gratis-Schutzprogramm EMET soll in Version 4.0 nicht nur besser vor Cyber-Angriffen schützen, es ist auch deutlich benutzerfreundlicher geworden. Die empfohlenen Schutzeinstellungen aktiviert man mit wenigen Klicks.

In Pocket speichern vorlesen Druckansicht 127 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Microsoft hat seinem Windows-Härter EMET in Version 4.0 einige neue Tricks beigebracht: Das Tool soll nun unter anderem Lauschangriffe auf verschlüsselte Verbindungen überführen und ROP-Attacken besser stoppen können. Die wichtigste Änderung ist jedoch oberflächlicher Natur: EMET 4.0 ist durch seine generalüberholte Bedienoberfläche deutlich leichter zu steuern. So dürfte das nützliche Schutztool weniger abschreckend auf technisch unerfahrene Nutzer wirken.

Mit dem neuen Einrichtungsassistenten muss man kein Sicherheitsexperte sein, um die wichtigen Schutzfunktionen scharf zu schalten.

Nach der Installation des Härtungstools erscheint nun ein Einrichtungsassistent, über den man mit wenigsten Klicks die wichtigsten Schutzeinstellungen vornehmen kann. Dieses Grundkonfiguration bringt Schutzprofile für verbreitete Programme wie Java, Adobe Reader und Office mit. Dadurch werden Exploit-Bremsen aktiv, die viele Cyber-Angriffe selbst dann verhindern können, wenn es für die ausgenutzt Lücke noch keinen Patch gibt. Gegen sogenannte ROP-Exploits (Return Oriented Programming) soll die neue Version besser den je schützen.

Darüber hinaus kann EMET für den Internet Explorer das sogenannte SSL Certificate Pinning aktivieren: Dabei legt man über eine Whitelist fest, welche Herausgeber (Certificate Authority, CA) SSL-Zertifikate für bestimmte Domains herausgeben können. Wird beim Aufruf der Domain ein Zertifikat von einer anderen CA ausgeliefert, zeigt das das Härtungstool einen Warnhinweis an – selbst wenn Windows dieser CA normalerweise vertraut

Echtes Zertifikat, falscher Herausgeber: Die CA, die dieses SSL-Zertifikat für PayPal.com ausgestellt hat, befindet sich nicht auf der Whitelist.

Wichtige Webdienste wie PayPal, Google oder Twitter wechseln die Herausgeber ihrer SSL-Zertifikate höchst selten. Wenn beim Besuch von Google.com statt einem Zertifikat von GeoTrust oder VeriSign plötzlich eines von einer weitgehend unbekannten CA ausgeliefert wird, ist mit einer guten Wahrscheinlichkeit etwas faul. In der Vergangenheit wurden solche falsche SSL-Zertifikate vor allem zur für staatliche Überwachungsmaßnahmen missbraucht.

Googles Chrome-Browser unterstützt das Zertifikats-Pinning bereits seit geraumer Zeit, allerdings ist die Whitelist dort fest im Quellcode verankert. Darüber wurden bereits erfolgreich missbräuchlich ausgestellte Google.com-Zertifikate entdeckt.

Außerdem gibt es eine Funktion namens Early Warning, von der man allerdings nicht direkt profitiert: Ist sie aktiv, sendet EMET Telemetriedaten über blockierte Angriffsversuche an Microsoft, wodurch das Unternehmen frühzeitig über 0days und SSL-MitM-Angriffe informiert ist. Last but not least will die Redmonder Softwareschmiede alle bekannten Kompatibilitätsprobleme beseitigt und EMET fit für den Internet Explorer 10 und Windows 8 gemacht haben (rei)