Microsoft misst Auswirkungen von Anwendungen auf Betriebssystemsicherheit

Martin Schindler,

Mit einem kostenlosen Tool evaluiert Microsoft, in wie weit eine Anwendung sich auf die Sicherheit des Betriebssystems auswirkt.

Das Tool Attack Surface Analyzer hat Microsoft im Januar 2011 als Beta-Version angekündigt. Jetzt ist das kostenlose Tool in der Version 1.0 verfügbar und bringt vor allem Fehlerbehebungen und Performance-Verbesserungen mit. Auch die Zahl von so genannten False Positives konnte Microsoft laut eigenen Angaben verringern. Neu ist auch eine tiefgreifende Dokumentation sowie umfangreiche anleitungen. Die Software sucht bei neu installierten Programmen nach Klassen, von denen bekannt ist, dass sie die Sicherheit des Betriebssystems schwächen.

Dabei wird geprüft, ob Dateien, Dienste, ActiveX-Steuerungen, Registry-Änderungen oder andere Paramater-Änderungen, die durch die Installation eines neuen Programms hervorgerufen werden, sich auf die Sicherheit auswirken.

Der Attack Surface Analyzer kennzeichnet Prozesse, die Speicher-Bereiche nicht als Non-Executable (NX) kennzeichnen. Denn ohne diese Kennzeichnung können Prozesse die Data Execution Prevention (DEP) in Windows umgehen. Auch Dienste mit schnellen Neustarts werden geprüft, ob diese über einen Angriff die Address Space Layout Randomization (ASLR) umgehen können. Das Tool prüft darüber hinaus, welche Prozesse, ausführbaren Dateien, Registry Keys, oder Directories schwache Access Control Lists (ACL) haben, oder ob und wie Programme die Einstellungen der Windows-Firewall verändern oder wie sie gegen die Sicherheitsrichtlinien des Internet Explorer verstoßen.

Das Microsoft-Tool identifiziert damit Schnittstellen, die gerne als Schlupflöcher für Angriffe verwendet werden.
Der Attack Surface Analyzer richtet sich in erster Linie an Systemadministratoren, Sicherheits-Experten und auch Software-Entwickler. Es soll aufzeigen, an welchen Stellen ein Programm die Sicherheit des Betriebssystems schwächt.

Das Tool steht für Windows-Versionen ab Vista zur Verfügung. Allerdings setzt der Attack Surface Analyzer das .NET Framework 4 oder höher voraus. Denn darüber lassen sich die Scan-Ergebnisse analysieren und vergleichen. Für den eigentlichen Sicherheitsscan lässt sich das Tool auch über cmd.exe steuern.