EMET 5.0 legt Plug-ins an die Leine

Mit einer Technical Preview gibt Microsoft einen Ausblick auf die neuen Schutzfunktionen der Exploit-Bremse EMET. So soll man bei Version 5.0 fein granuliert einstellen können, welche Prozesse unter welchen Bedingungen Plug-ins benutzen dürfen. Beispielsweise kann man dem Internet Explorer das Starten von Java nur dann erlauben, wenn es im Kontext einer Intranet-Seite geschieht. Java-Exploits, die zumeist im Internet gehostet werden, hätten so keine Chance. Microsoft nennt diese Schutzfunktion passenderweise Attack Surface Reduction (ASR).

Die zweite wichtige Neuerung ist die Erweiterung der Schutzfunktion Export Address Table Filtering (EAF), die künftig noch ein Plus hinter dem Namen tragen wird. EAF beschränkt den Zugriff auf Export Address Tables, die bei Angriffen mittels Return Oriented Programming (ROP) eine wichtige Rolle spielt: Die Tabelle liefert dem Angreifer wertvolle Hinweise darauf, an welchen Speicheradressen etwa Systembibliotheken abgelegt sind. Bei ROP nutzen die Angreifer Funktionen aus diesen Bibliotheken, um sich den eigentlichen Schadcode zusammen zu bauen. In Version 5 weitet Microsoft diesen Schutz neben den Bibliotheken kernel32.dll und ntdll.dll auch auf die Exports der kernelbase.dll aus.

In der Ankündigung erklärt Microsoft, dass die Schutzfunktionen von EMET beim Ausnutzen von Schwachstellen stören sollen und die Kosten für die Entwicklung zuverlässiger Exploits in die Höhe treiben. Verhindern kann EMET einen hartnäckigen Angriff nicht, wie auch ein jüngst veröffentlichtes Paper der Sicherheitsfirma Bromium Labs zeigt. Das Unternehmen hat Methoden zusammengestellt, die von der aktuellen EMET-Version 4.1 bereitgestellten Schutzfunktionen umgehen. Dabei hat sich Bromium allerdings in einigen Fällen begünstige Startbedingungen verpasst – etwa, indem Binaries so verändert wurden, dass sie ohne ASLR starten. (rei)