EMET – Anwendungen resistenter machen


Es ist längst kein Geheimnis mehr, dass die meisten
Malware-Infektionen durch den Missbrauch von Bugs in Anwendungen – und nicht
länger dem Betriebssystem – von statten gehen. Wer also die Schwachstellen in
seinen Applikationen minimiert, verringert die Angriffsfläche – was wiederum
leichter klingt, als es de facto umzusetzen ist. Unser monatlicher Patch-Tag
ist der beste Beweis hierfür 🙂

Aber es gibt auch einige Tools, die Entwicklern beim
Abwehren gängiger Attacken helfen können. Eines dieser Hilfsmittel ist das Enhanced
Mitigation Experience Toolkit V 2.0 (EMET)
von Microsoft. Das kostenlose Programm
ist für alle Windows-Programme gedacht und benötigt, anders als andere Tools,
keinen Zugriff auf den Sourcecode – die ausführbare Datei genügt.

EMET kann insgesamt sieben zusätzliche Sicherheitstechniken
auf Applikationen anwenden – selbst, wenn Entwickler diese gar nicht vorgesehen
haben. Dazu gehören beispielsweise die Unterstützung für Data Executive
Prevention (DEP), Structured Exception Handling Overwrite Protection (SEHOP) oder
NullPage. SEHOP überprüft beispielsweise den Programmablauf. Sobald eine
Ablaufkette ein Problem aufzeigt, wird der Prozess beendet – so wird
verhindert, dass sich ein bösartiges Programm den Fehler zu Nutze macht, um
unerlaubt auf einen Speicherbereich zugreifen zu können. DEP ist seit Windows
XP Bestandteil von Windows, Programme müssen aber mit einem speziellen Flag
kompiliert werden – EMET kann den Prozess auch ohne dieses Flag schützen.

Nach der Installation lässt sich EMET wahlweise über die GUI
oder die Kommandozeile starten. Zu überwachende Anwendungen werden über die
Schaltfläche „Configure Apps“ hinzugefügt. Zudem lässt sich hier wählen, welche
Techniken EMET auf das jeweilige Programm anwenden soll.

Warum sind die vom EMET geprüften Sicherheitsfunktionen
nicht standardmäßig aktiv und Teil des Sourcecodes? Einige der Funktionen verursachen
unter Umständen Probleme. Zudem bedeutet die Funktion nicht automatisch, dass
die jeweilige Anwendung komplett gegen Attacken geschützt wird. Allerdings wird
es deutlich schwerer, Schwachstellen in installierten Programmen auszunutzen,
um Malware zu installieren. Dieser
Blog-Eintrag
erklärt beispielsweise, wie sich eine Zero-Day-Attacke auf
Adobe Acrobat Reader mit Hilfe von EMET verhindern lässt. Adobe setzt zwar
normalerweise auf Address Space Layout Randomization (ASLR), für eine spezielle
DLL ist dieser Schutz aber nicht aktiviert – EMET rüstet die Funktion nach und
schützt so vor dem Angriff.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht
Michael alles Wissenswerte rund um Schwachstellen in
Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (0)