Tool gegen Windows-Sprayer

Das Tool HeapLocker soll Heap-Spraying-Angriffe auf Windows-Systeme vereiteln und somit das Ausnutzen von Lücken verhindern können.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 76 Beiträge
Von

Das Windows-Tool HeapLocker soll es Angreifern erschweren, durch Sicherheitslücken eingeschleusten Code ausführen zu können. Das Tool wurde vom bislang als Spezialist für PDF-Sicherheit bekannt gewordenen Entwickler Didier Stevens geschrieben.

HeapLocker soll insbesondere vor sogenanntem Heap Spraying schützen, bei dem ein Angreifer seinen Code mehrfach auf dem Heap einer Anwendung verteilt, um sicherzustellen, dass er ihn auch anspringen kann. Dabei schreibt er lange Folgen von Tu-Nix-Befehlen (NOPs) in den Speicher, an deren Ende der eigentliche Schadcode wartet. Selbst mit einem ungezielten Sprung in den Heap ist es sehr wahrscheinlich, auf einer Tu-Nix-Rutsche (NOP-Slide) zu landen und schließlich den Code zu starten.

HeapLocker soll nun den Heap eines Prozesses vorab belegen und somit dafür sorgen, dass kein Platz mehr für Spraying ist. Daneben überwacht das Tool die Belegung des virtuellen Heap-Speichers – Heap Spraying verbraucht immens viel davon. Ab einer wählbaren Grenze schlägt das Tool Alarm und stoppt den Prozess. Darüber hinaus soll HeapLocker auch NOP-Slides detektieren können und im Falle eines Falles dem Anwender den Abbruch des Programmes anbieten können.

Als letzte Verteidigungslinie kann das Tool für Exploits typische Zeichenketten erkennen – das funktioniert derzeit aber nur bei präparierten PDF-Dokumenten. Im Test der heise-Security-Redaktion blockierte HeapLocker einen Exploit für den Adobe Reader, da er eine bösartige Signatur erkannte.

Dubiose JavaScripte zum Unescape von Zeichenketten lassen HeapLocker anspringen.

Stevens hat HeapLocker nach eigenen Angaben mit Adobe Reader 8.1.2 und 9.4.3 sowie Foxit Reader 4.1, Excel 2003, Firefox 3.6.3 und Internet Explorer 8 unter Windows XP SP3 getestet. Längere Stabilitätstests hat Stevens jedoch nur mit dem Adobe Reader durchgeführt.

Grundsätzlich hätte HeapLocker damit das Potenzial, Microsofts Enhanced Mitigation Experience Toolkit Konkurrenz zu machen. Allerdings ist HeapLocker derzeit alles andere als endanwendertauglich. Damit HeapLocker aktiv ist, muss man die Datei heaplocker.dll via Import-Table in die zu schützende Anwendung laden. Dazu benötigt man weitere Tools wie PE-Header-Editoren, um etwa die Datei AcroRd32.exe zu bearbeiten.

(dab)