Seite 2: Die Praxis

Inhaltsverzeichnis

Die Praxis

Microsoft integriert die neuen Schutzfunktionen über den Application Compatibility Layer in Windows, der eigentlich ältere Anwendungen zu modernen Windows-Versionen kompatibel machen soll. Dabei lädt Windows beim Start einer unterstützen (und als solche registrierten) Anwendung eine sogenannte Shim-DLL, die API-Aufrufe über sich umleitet und etwa das Verhalten einer alten Windows-Version vorgaukelt.. Die für EMET zuständige Bibliothek heißt passenderweise emet.dll.

Das Tool steht auf Microsofts Seiten zum Download zur Verfügung und erfordert die Laufzeitumgebung .Net 2.0 – ein bereits installiertes .Net 4.0 akzeptierte das Tool in unserem Test nicht. Die Installation des Tools ist selbsterklärend, bringt aber keinerlei Basiskonfiguration mit. Der Anwender muss nun selber Anwendungen auswählen und in die Liste der zu schützenden Programme eintragen.

Ab Version 2.0 hat Microsoft EMET eine grafische Bedienoberfläche spendiert, in der man mit wenigen Klicks eine Anwendung um die Schutzfunktionen erweitern kann. Dazu fügt man unter "Configure Apps" einfach die exe-Datei des jeweiligen Programmes zu der Liste hinzu (siehe Bilderstrecke). In den meisten Fällen sollte man die vorselektierten Schutzoptionen aktiviert lassen, nur wenn die Anwendung anschließend nicht mehr richtig funktioniert, sollte man einige deaktivieren – hier hilft aber leider nur Durchprobieren der einzelnen Optionen. Unter Windows XP fehlt die Option ASLR, da das Verwürfeln der Adressen erst bei Windows Vista eingeführt wurde.

Nach dem Hinzufügen muss man die geschützte Anwendungen gegebenenfalls neu starten. Anschließend lädt diese zusätzlich die Bibliothek emet.dll mit, in der die zusätzlichen Schutzmaßnahmen implementiert sind. Die EMET-Bedienoberfläche ist nur zur Konfiguration notwendig; der Anwender kann sie danach schließen. Zur Kontrolle kann es aber sinnvoll sein, nachzuschauen, ob und welche Anwendungen EMET nutzen.

Für einen einfachen Test der Wirksamkeit von EMET haben wir mit dem Exploit-Framework Metasploit ein präpariertes PDF-Dokument erstellt, das beim Öffnen im ungepatchen Adobe Reader zur Demonstration den Taschenrechner öffnete. Den gleichen Test führten wir mit installiertem EMET aus.

Das infizierte PDF-Dokument startete im Test den Taschenrechner nicht mehr und führte nur zum Absturz des Adobe Reader. Leider lässt EMET keine Rückschlüsse zu, welche der Optionen die Adobe-Reader-Lücke nun davor bewahrt hat, ausgenutzt zu werden.

So weit, so gut. Leider mussten wir feststellen, dass wir keineswegs vor Angriffen durch diese PDF-Datei geschützt waren. Denn das Einbinden des Adobe-Reader-Binaries in EMET schützt kein Stück vor Angriffen auf die Browser-Plug-ins für den Internet Explorer und Firefox. Und wer denkt, dass das Einbinden der Plug-in-Dateien ausreichen würde, um Exploits ins Leere laufen zu lassen, liegt leider falsch. Auch das Hinzufügen von AcroPDF.dll (ActiveX-Control) oder nppdf32.dll (Mozilla-Plugin) zu EMET verhinderte den Start des Taschenrechners beim Laden des infizierten Dokuments im Browser nicht.

Selbst als wir in EMET den bei Firefox für die Verwaltung der Plug-uns verantwortlichen Container plugin-container.exe aktivierten, erschien der böse Taschenrechner noch. Letztlich half es nur, die Browser-Dateien firefox.exe und iexplorer.exe selbst mit EMET vor dem PDF-Exploit zu schützen – das schützt dann aber gleich vor Ungemach durch andere verwundbare Plug-ins.

Ausblick

Wer möchte, kann mit EMET weitere Anwendungen schützen. Sinnvoll sind alle diejenigen, die direkt Daten oder Dateien aus dem Internet verarbeiten, also neben dem Browser auch E-Mail-Clients, Media-Player, Office-Programme und Viewer aller Couleur. Administratoren können im Unternehmen die zu schützenden Programme über das Befehlszeilen-Tool emet_conf.exe auch per Skript zu EMET hinzufügen. Denkbar ist es sogar, Server-Anwendungen vor Angriffen mit dem Tool zu schützen. In ersten Versuchen von heise Security traten keine Probleme auf, die sich auf die damit aktivierten Sicherheitsfunktionen zurückführen ließen. Allerdings weist Microsoft selbst darauf hin, dass manche Programme allergisch darauf reagieren.

Die meisten der Schutzvorkehrungen lassen sich zwar mit ausgefeilten Exploits aushebeln. Doch das bedeutet für die Malware-Entwickler derzeit noch viel Aufwand und zahlreiche Tests. Deshalb kursieren derzeit noch keine Schädlinge, die alle Hürden auf einmal nehmen. Bis es soweit ist, kann EMET die Sicherheit von Windows-Systemen also deutlich erhöhen. (dab) (dab)