Forscher haben in einer Machbarkeitsstudie ein Exploit entwickelt, welches die Sicherheitsmaßnahmen in Microsofts Enhanced Mitigation Experience Toolkit (EMET) umgehen kann. Das Toolkit soll das Risiko von Attacken, die durch Zero-Day-Exploits verursacht werden, vermindern.

Bromium Labs, das vom Sicherheitsexperten Jared Demott geleitet wird, konnte erfolgreich einige Kern-Abwehreinrichtungen überwinden. Dabei machten sich die Forscher eine Schwachstelle besonders zunutze: die Abhängigkeit von bekannten Vektoren von Angriffsmethoden, die auf Return-orientiertem Programmieren basieren.

„Jedes Tool, das eine Ausbeutung auf Basis von bekannten Angriffsmethoden zu blockieren versucht, wird dieses Problem immer in seiner Architektur haben“,

so Rahul Kashyap, Gründer von Bromium.

Einer der Forscher, die den Exploit entwickelten, merkt an:

„Die Frage ist ja nicht, ob EMET umgangen werden kann. Es besteht vielmehr die Frage, ob EMET die Kosten des Angriffs ausreichend erhöht.“

Nach Meinung der Forscher bedarf es schon eines sehr passionierten Hackers, um die maßgeschneiderten Anwendungen zu entwickeln, die man braucht, um EMET so zu umgehen wie in der Untersuchung.

„EMET ist ein großartiges Tool und ich würde es weiterempfehlen. Man muss einen großen Aufwand betreiben, um alles zu umgehen, was das Tool zur Verfügung stellt“,

so Kashyap. Solange der Wert der Daten, die durch EMET geschützt werden sollen, einen bestimmten Wert nicht übersteigt, sollte EMET seinen Nutzen also bestens erfüllen können.

Bromium gab die Details seiner Forschung an Microsoft weiter und machte den Vorschlag, Virtual Memory Protection als Default-Standard zu setzen, den EAF-Schutz weiterzuentwickeln sowie die Return-orientierten Programmier-Mitigations auf einen 64-bit-Code zu erweitern. Kashyap geht davon aus, dass Microsoft diese Punkte in der nächsten EMET-Version angehen wird. Doch selbst mit diesen Verbesserungen besteht immer noch die Möglichkeit, dass das System ausgetrickst wird. So schützt EMET nicht vor Kernel-Schwachstellen oder vor Non-Exploit-Angriffen wie Java Sandbox Escapes.

Deshalb schlägt Mott vor, „ein Tool zu entwickeln, das nicht auf Vektoren von Ausbeutungsmethoden basiert. Wie gezeigt wurde, entwickeln diese sich nämlich kontinuierlich weiter.“

Artikel von darkreading.com, 23.02.2014: Researchers Bypass Protections In Microsoft’s EMET Security Tool
Artikel von arstechnica.com, 24.02.2014: New attack completely bypasses Microsoft zero-day protection app