Automatische Exploits durch Patch-Analyse
Forscher der Carnegie Mellon School of Computer Science haben untersucht, ob sich aus dem Patch einer Sicherheitslücke ein Exploit erstellen lasst – und hatten Erfolg.
Der Sicherheitspatch zu einer bislang unbekannten Sicherheitslücke wurde gerade auf dem Server bereitgestellt – und Minuten später nutzen erste Webseiten die damit zu schließende Schwachstelle bereits aus, um Besuchern der Seite einen Trojaner unterzuschieben, der ihnen etwa die Bankdaten klaut. Dieses Horrorszenario könnte schon bald tägliche Praxis sein.
Die Forscher David Brumley und Pongsin Poosankam von der Carnegie Mellon School of Computer Science, Dawn Song von der University of California, Berkeley und Jiang Zheng von University of Pittsburgh haben untersucht, ob sich Exploits für eine Schwachstelle anhand des dafür bereitgestellten Patches automatisiert herstellen lassen. Ihnen ist der Nachweis der Machbarkeit gelungen.
Dazu haben sie fünf Microsoft-Programme untersucht, für die das Unternehmen Updates bereitgestellt hat. Mit Tools wie Bindiff oder EDBS untersuchten sie die Unterschiede zwischen ungepatchter und gepatchter Datei, um zusätzliche Gültigkeitsprüfungen etwa für Ganzzahlen aufzuspüren. Anschließend suchten sie nach Werten, bei der die neue Prüfung einen Fehler liefern würde. Damit lässt sich die geschlossene Lücke mit hoher Wahrscheinlichkeit ausnutzen.
Darauf basierend gelang es den Forschern, innerhalb kurzer Zeit automatisch Exploits zu generieren, die die ungepatchte Anwendung zumindest zum Absturz brachten. Mit mehreren Anläufen gelang dem Team oft auch, eine Lücke so zum Einschleusen fremden Programmcodes auszunutzen.
Weil die automatische Patch-Analyse und Exploit-Generierung damit als machbar anzusehen ist, schrumpft das Zeitfenster zwischen Bereitstellung eines Patches und der Ausnutzung der Lücke erheblich. Windows-Rechner suchen in den Standardeinstellungen etwa um drei Uhr Nachts automatisch nach Updates. Wenn Microsoft die Patches jedoch bereits am Vorabend gegen 20 Uhr veröffentlicht, könnten schon am frühen Abend etwa Webseiten die größtenteils noch offen stehenden Sicherheitslücken zum Einschleusen von Schadcode missbrauchen – etwa wenn Nutzer Abends noch Auktionen bei eBay beobachten und dabei im Netz surfen, das Windows-Update aber nicht manuell anstoßen.
Die Forscher sehen daher Handlungsbedarf bei der Patchauslieferung. Man könne nicht wie bisher die Patches über einen längeren Zeitraum gemächlich ausrollen, sondern müsste umgehend alle Rechner bei Verfügbarkeit des Updates damit versorgen. Gerade in Unternehmen und auf Servern ist das problematisch, da dort erst das korrekte Zusammenspiel zwischen Update und der eingesetzten Software geprüft werden muss.
Siehe dazu auch:
- Automatic Patch-Based Exploit Generation, Webseite mit Paper (PDF) von David Brumley, Pongsin Poosankam, Dawn Song und Jiang Zheng
(dmk)
