Thema: Neue Exploittechnik trickst Speicherschutz aus

[SiLæncer]

Der Sicherheitsexperte HD Moore hat die ersten bösartigen PDF-Dateien entdeckt, die die Speicherschutzfunktion Data Execution Prevention (DEP) durch eine recht neue Technik namens Return Oriented Programming umgehen. Damit sind die Tage gezählt, an denen DEP noch wirklich Schutz bieten kann, noch bevor es sich allgemein durchgesetzt hat.

Moore wollte den PDF-Exploit eigentlich nur in seine Schwachstellentest-Plattform Metasploit einbauen. Dabei fiel ihm auf, dass er trotz des beim Adobe Reader 9.3 standardmäßig aktiven DEP reibungslos funktionierte. Bei der folgenden Untersuchung des Exploits stellte er fest, dass der eine Liste von Speicheradressen enthielt, die jeweils auf den hinteren Teil von Funktionen zeigten – also auf ein paar Maschinenbefehle gefolgt von einem Return. Das ist charakteristisch für eine recht raffinierte, neue Exploit-Technik, die bislang nicht in freier Wildbahn gesichtet wurde.

Typischerweise funktioniert ein Exploit so, dass man eigenen Code als Nutzdaten einschleust  und durch Speichermanipulationen veranlasst, dass das Programm diesen anspringt. Als Schutzmaßnahme setzen moderne Systeme die Zugriffsrechte für Datenspeicherbereiche so, dass dieser zwar gelesen, aber nicht ausgeführt werden kann; bei Windows heißt das Data Execution Prevention (DEP).

Die klassische Technik, DEP zu umgehen, nennt sich Return-to-libc. Sie erfordert keinen eigenen Code, sondern nutzt die bereits geladenen Systemfunktionen, etwa zum Starten eines Programms. Dazu muss man nur den Stack passend präparieren, damit etwa ein Return-Aufruf im Programm die Exec-Funktion anspringt und diese dann die passenden Parameter auf dem Stack vorfindet, damit sie etwa notepad.exe ausführt.

Unter anderem Hovav Shacham präsentierte 2007 eine verallgemeinerte Version dieses Konzepts, bei der man sich seinen Exploit-Code aus bereits im Speicher vorhandenen Code-Fragmenten zusammenstellt, die jeweils direkt vor einem Return-Befehl stehen. In seinem lesenswerten Papier erklärt er, dass diese Programmiertechnik etwa im Kontext der Libc Turing-komplett sei – man damit also beliebige Programme realisieren könnte. Prinzipiell kann das Zusammensuchen der benötigten Code-Fragmente sogar ein spezieller ROP-Compiler übernehmen. 2009 demonstrierten Forscher, dass sich damit selbst Wahlmaschinen mit konsequenter Harvard-Architektur hacken ließen; auf der diesjährigen RSA-Konferenz hielt Dino Dai Zovi einen Vortrag zu "Practical Return Oriented Programming".

Bislang konnte man davon ausgehen, dass die Mehrzahl von bösartigen Dateien, die versuchen,  Sicherheitslücken in Progarmmmen auszunutzen, um Schadsoftware zu installieren, durch DEP abgeblockt werden. Dass diese neue Exploittechnik jetzt  in Malware-Files auftaucht, lässt Böses ahnen. Es steht zu befürchten, dass die Schutzwirkung von DEP verfliegt, noch bevor es sich auf breiter Front durchgesetzt hat. Denn erst bei den 64-Bit-Systemen, die bei der Intel-Architektur das No-Execute-Bit  einführten, ist DEP standardmäßig für alle Programme aktiv; auf den immer noch weit verbreiteten 32-Bit-Systemen darf jedes Programm selbst entscheiden, ob es mit DEP läuft oder ohne. Dazu gehören auch 32-Bit-Windows-Versionen auf 64-Bit-Hardware.

Siehe dazu auch

    * Understanding DEP as a mitigation technology von Microsoft

Quelle : www.heise.de

[SiLæncer]

Nur wenige Anwendungen nutzen die unter Windows verfügbare Datenausführungsverhinderung (Data Execution Prevention, DEP) und Speicherverwürfelung (Adress Space Layout Randomisation, ASLR), um Angriffe auf Schwachstellen ins Leere laufen zu lassen. Zu diesem Ergebnis kommt der Sicherheitsdienstleister Secunia in einer Untersuchung  von 16 populären Anwendungen wie Browsern, Mediaplayern und Office-Anwendungen.

DEP verhindert, dass ein Angreifer seinen über einen Buffer Overflow auf den Stack oder Heap geschriebenen Code ausführen kann – den Overflow selbst kann es nicht verhindern. Der Angreifer muss aber nicht zwingend sofort seinen eigenen Code ausführen. Vielmehr kann er durch Manipulation der Rücksprungadresse in ein bereits von der Anwendung geladenes Codesegment springen. Üblicherweise versuchen Angreifer in bestimmte Funktionen der C-Bibliothek zu springen (Return-into-libc-Attacke).

Da die Funktionen immer an die gleiche Stelle geladen werden, weiß ein Angreifer, an welche Stelle sein Code springen muss. Diese Vorhersage soll nun wiederum ASLR erschweren. Windows 7 und Vista wählen für den Speicherort des geladenen Codes eines Prozesses, die dazugehörige DLLs, den Stack und Heaps zufällige Adressen. Das lässt sich zwar auch wieder mit bestimmten Tricks aushebeln, allerdings macht es Exploits unzuverlässiger – und oftmals hat eine Angreifer nur einen Schuß.

Windows überlässt es der Anwendung, beim Laden durch bestimmte Flags zu signalisieren, ob es DEP und ASLR nutzen will. Während die meisten Microsoft-Anwendungen regen Gebrauch von den Funktionen machen, nutzen laut Secunia Anwendungen anderer Hersteller die Funktionen aber oft gar nicht, nur teilweise oder fehlerhaft. Die Browser Firefox, Opera und Safari beispielsweise unterstützen zwar DEP, aber kein ASLR. Einzig Chrome nutzt beide Optionen.

Mediaplayer wie Winamp, RealPlayer, QuickTime und VLC nutzen gar keine der Optionen. Apple hatte zwar schon Mitte 2008 damit geworben, in QuickTime einen "Exploit Prevention mechanisms" (XPMs) auf Basis von ASLR realisiert zu haben. Bei genauerem Hinsehen ließ sich aber erkennen, dass ASLR für zahlreiche Bibliotheken und Anwendungen von QuickTime weiterhin deaktiviert ist.

Nach Meinung von Secunia dürften die unzureichende Nutzung der Optionen für Virenautoren ein weiterer Grund sein, ihre Angriffe auf Anwendungen anderer Hersteller als Microsoft zu verlagern.

Quelle : www.heise.de

[SiLæncer]

Zahlreiche Antiviren-Produkte nutzen die unter Windows verfügbare Datenausführungsverhinderung (DEP) und Speicherverwürfelung (ASLR) nur unzureichend, um Angriffe auf mögliche Schwachstellen ins Leere laufen zu lassen. Das berichtet Brian Krebs in seinem Blog.

Krebs knüpft damit an eine vor vier Wochen vom Dienstleister Secunia veröffentlichte Untersuchung an, wonach von 16 populären Anwendungen wie Web-Browsern, Mediaplayern und Office-Anwendungen kaum eine den Exploit-Schutz von Windows nutzt. Gerade bei Sicherheitsprodukten würde man das jedoch erwarten – zudem insbesondere Virenscanner nicht selten Schwachstellen aufweisen. DEP und ASLR lassen sich zwar mit Tricks aushebeln, sie legen die Latte für erfolgreiche Exploits dennoch höher.

Krebs schaute sich mit dem Process Explorer  unter Windows Vista (XP unterstützt kein ASLR) den DEP- und ASLR-Status an: AVAST Home Edition, AVG Internet Security 9.0, BitDefender Internet Security 2010, ESET Smart Security, F-Secure Internet Security, Norton Internet Security 2010, Panda Internet Security 2010 und Trend Micro Internet Security 2010 nutzten weder DEP noch ASLR. Einzig Microsoft Security Essentials aktivierte für seine Prozesse sowohl DEP als auch ASLR. Daneben schalteten andere Hersteller wie Avira, McAfee oder Kaspersky die Schutzfunktionen nicht durchgehend für alle Prozesse an.

F-Secure und Bitdefender wollen laut Brian Krebs in kommenden Versionen die Unterstützung für DEP und ASLR implementieren. Avira will dies in Version 11 ebenfalls tun, weil ab dann der Support für Windows 2000 wegfällt, das weder DEP noch ASLR bietet. Panda hat eine eigene Selbstschutztechnik implementiert und verzichtet deshalb auf DEP und ASLR. Nach Angaben von Symantec soll bei Norton zumindest DEP eigentlich bereits aktiviert sein, ASLR soll in kommenden Versionen folgen. ESET hält den Exploit-Schutz von Windows hingegen für unzureichend. Ohne ausreichende Tests könne ASLR für Angriffe auf Schutzsoftware verwendet werden.

Quelle : www.heise.de

[SiLæncer]

Die Sicherheitsexperten Chris Valasek und Ryan Smith haben auf der Hackerkonferenz Infiltrate erstmals öffentlich gezeigt, wie sie Heap-Exploitation Mitigation von Windows austricksen, berichtet The Register. Durch Ihre Entdeckung konnten die Experten eine inzwischen gepatchte Lücke in IIS 7.5 zum Einschleusen von Schadcode nutzen und beweisen, dass Microsoft mit seiner ersten Einschätzung, die Lücke könne maximal zu einem Absturz des Servers führen, falsch gelegen hat.

Ganz so leicht kommt man an der Heap-Exploitation Mitigation allerdings nicht vorbei: Normalerweise erkennt die Schutzfunktion Speicherbereiche, die durch Heap-Overflows manipuliert wurden und beendet den betroffenen Prozess anschließend, um Schlimmeres – die Ausführung von Schadcode – zu verhindern. Dies funktioniert in der Regel zuverlässig. Allerdings nur, solange nicht das optimierte Speicherzuordnungsverfahren Low-fragmentation Heap (LFH) zum Einsatz kommt, das Microsoft mit Vista eingeführt hat. LFH soll die Fragmentierung des Speichers reduzieren und für eine bessere Anwendungsperformance sorgen.

Die beiden Sicherheitsforscher haben entdeckt, dass LFH die Heap-Exploitation Mitigation aus bislang ungeklärten Gründen komplett außer Kraft setzt. Gelingt es einem Angreifer, eine verwundbare Anwendung zur Nutzung von LFH zu zwingen, kann er durch einen Heap Overflow unbehelligt seinen Schadcode in den Speicher schreiben und ausführen. Im Fall des IIS erreichen die Forscher dies, indem sie einige FTP-Befehle in einer bestimmten Reihenfolge an den Server schicken.

"Im Vergleich zu anderen Angriffmethoden muss man mehr über das Betriebssystem und die Anwendung wissen, um herauszufinden, wie man LFH aktiviert und zu seinem Vorteil nutzt", sagte der Forscher Chris Valasek dem Magazin. LFH ist nicht standardmäßig aktiv und es ist laut The Register für den Angreifer oftmals auch nur sehr umständlich möglich, die Funktion zu aktiveren.

Auch andere Schutzfunktionen von Windows gelten mittlerweile als ausgehebelt. Die Adress Space Layout Randomisation (ASLR) wurde etwa durch JIT-Spraying überwunden und die Data Execution Prevention (DEP) kann man durch Return Oriented Programming austricksen.

Quelle : www.heise.de