19.04.2011 11:31
Windows-Funktion setzt Exploit-Schutz außer Kraft
Die Sicherheitsexperten Chris Valasek und Ryan Smith haben auf der Hackerkonferenz Infiltrate erstmals öffentlich gezeigt, wie sie Heap-Exploitation Mitigation von Windows austricksen, berichtet The Register. Durch Ihre Entdeckung konnten die Experten eine inzwischen gepatchte Lücke in IIS 7.5 zum Einschleusen von Schadcode nutzen und beweisen, dass Microsoft mit seiner ersten Einschätzung, die Lücke könne maximal zu einem Absturz des Servers führen, falsch gelegen hat.
Ganz so leicht kommt man an der Heap-Exploitation Mitigation allerdings nicht vorbei: Normalerweise erkennt die Schutzfunktion Speicherbereiche, die durch Heap-Overflows manipuliert wurden und beendet den betroffenen Prozess anschließend, um Schlimmeres – die Ausführung von Schadcode – zu verhindern. Dies funktioniert in der Regel zuverlässig. Allerdings nur, solange nicht das optimierte Speicherzuordnungsverfahren Low-fragmentation Heap (LFH) zum Einsatz kommt, das Microsoft mit Vista eingeführt hat. LFH soll die Fragmentierung des Speichers reduzieren und für eine bessere Anwendungsperformance sorgen.
Die beiden Sicherheitsforscher haben entdeckt, dass LFH die Heap-Exploitation Mitigation aus bislang ungeklärten Gründen komplett außer Kraft setzt. Gelingt es einem Angreifer, eine verwundbare Anwendung zur Nutzung von LFH zu zwingen, kann er durch einen Heap Overflow unbehelligt seinen Schadcode in den Speicher schreiben und ausführen. Im Fall des IIS erreichen die Forscher dies, indem sie einige FTP-Befehle in einer bestimmten Reihenfolge an den Server schicken.
"Im Vergleich zu anderen Angriffmethoden muss man mehr über das Betriebssystem und die Anwendung wissen, um herauszufinden, wie man LFH aktiviert und zu seinem Vorteil nutzt", sagte der Forscher Chris Valasek dem Magazin. LFH ist nicht standardmäßig aktiv und es ist laut The Register für den Angreifer oftmals auch nur sehr umständlich möglich, die Funktion zu aktiveren.
Auch andere Schutzfunktionen von Windows gelten mittlerweile als ausgehebelt. Die Adress Space Layout Randomisation (ASLR) wurde etwa durch JIT-Spraying überwunden und die Data Execution Prevention (DEP) kann man durch Return Oriented Programming austricksen.
(rei)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
