Neuer Exploit umgeht Windows DEP

Die letzten Windows-Versionen (angefangen mit XP SP2 und Vista) hat Microsoft mit den Sicherheitsmechanismen Data Execution Protection (DEP) und Address Space Layout Randomization (ASLR) ausgestattet, um die Systeme vor Angriffen durch Exploits zu schützen.

DEP verhindert die Ausführung von Code, einschließlich bösartigen Shellcodes von bestimmen Regionen des Hauptspeichers (nonexecutable) aus. ASLR wiederum sorgt für ein Random-Layout von Hauptspeicherregionen, um das Erraten genauer Locations zu erschweren. Doch was passiert, wenn diese Sicherheitsmechanismen nicht sicher sind?

Genau dies musste der Sicherheitsforscher Berend-Jan Wever feststellen, als er von einer neuen Exploit-Technik in einem Proof-of-Concept (POC) berichtete, die diese DEP-Funktionalität umgeht, wenn ASLR deaktiviert ist. Wever erklärt die Methode, wie DEP und ASLR mithilfe von Return-to-Libc-Angriffen umgangen werden, wobei der Angreifer statt des eigenen Codes vorhandenen Code, die Exploit-Anwendung oder Bibliotheksfunktionen nutzen, um den Angriff auszuführen.

Obwohl diese Funktionen die Code-Ausführung zum einem erschweren, sind sie nicht perfekt und können umgangen werden, wie sich gezeigt hat. Dabei ist es möglich, dass dieser Exploit eine bereits geschlossene Schwachstelle im Internet Explorer verwendet, doch die neue Technik könnte den Weg für neuen Exploit bereiten. Außerdem hat Microsoft ASLR erst ab Vista standardmäßig aktiviert, sodass von weiteren Schwachstellen dieser Art in neuen Windows Versionen ausgegangen werden kann.

Aufgrund der steigenden Zahl der veröffentlichten POCs sollte der Umgang mit verantwortungsvollen Veröffentlichungen mehr diskutiert werden. Öffentliche Disclosures sind derzeit ein zweischneidiges Schwert, denn sie tragen einerseits zur Bedrohungslandschaft bei und komplizieren diese zusätzlich. Andererseits schärfen sie das Bewusstsein der Öffentlichkeit für die Gefahren und zwingen Entwickler, schnell zu reagieren. Auch führen sie wiederum zu schweren Exploits.