Microsoft EMET und sichere Systemkonfiguration

Risiko von Zero-Day-Schwachstellen mindern

| Autor / Redakteur: Wolfgang Kandek, Qualys / Stephan Augsten

Selbst im Falle einer Zero-Day-Schwachstelle lässt sich Angriffscode stoppen.
Selbst im Falle einer Zero-Day-Schwachstelle lässt sich Angriffscode stoppen. (Bild: Andrea Danti - Fotolia.com)

Zero-Day-Lücken sind Programmfehler, die bereits „in freier Wildbahn“ (engl.: in the wild) von Angreifern ausgenutzt werden, für die aber noch kein Patch existiert. Doch selbst bei einem fehlenden Sicherheitsupdate ist der Anwender einem Angreifer noch nicht auf Gedeih und Verderb ausgeliefert.

Wolfgang Kandek: „Selbst für Schwachstellen, die nicht gepatcht werden können, gibt es Sicherheitsmaßnahmen.“
Wolfgang Kandek: „Selbst für Schwachstellen, die nicht gepatcht werden können, gibt es Sicherheitsmaßnahmen.“ (Bild: Qualys)

Anfang November 2013 erschienen zwei separate Meldungen zu Zero-Day-Lücken, die bereits aktiv ausgenutzt wurden, um Microsoft-Produkte anzugreifen. Die erste Lücke fand sich in einer Code-Bibliothek des Parsers für das Bildformat TIFF und wird über ein Microsoft Word-Dokument angegriffen. Die zweite befindet sich im Internet Explorer, und als Angriffsvektor dient eine schädliche Webseite.

Es sind nicht die ersten Zero-Day-Lücken dieser Art in diesem Jahr: Im Januar, Mai und September wurden Zero-Day-Sicherheitslücken im Internet Explorer aufgedeckt, im Januar und März in Oracle Java und im Februar im Adobe Reader.

Oft braucht der Anbieter, in diesem Fall Microsoft oder Oracle, einen weiteren Patch-Zyklus (also beispielsweise mehr als 30 Tage), um einen offiziellen Patch herauszubringen. Es gibt jedoch etwas, das Unternehmen zu ihrem Schutz tun können: Sie können ihre Systeme so konfigurieren, dass sie maximal verteidigungsfähig sind.

Anwendungen mit EMET überwachen

Microsoft weist in jeder seiner Zero-Day-Sicherheitsempfehlungen darauf hin, dass Computer, auf denen EMET installiert und konfiguriert ist, gegen die Angriffe in ihren derzeitigen Formen immun sind. EMET steht für „Enhanced Mitigation Experience Toolkit“ und ist ein zusätzliches Sicherheitstool, das kostenlos von der Microsoft Website heruntergeladen werden kann.

Das Tool legt Windows-Programmen eine Art „Zwangsjacke“ an, indem es sie auf auffällige Verhaltensweisen überwacht und Programme abbricht, die sich ungewöhnlich verhalten. Ungewöhnliche Vorgänge, wie etwa Heap Spraying oder Manipulation der Exception Handler, ist oft ein Anzeichen für einen beginnenden Cyberangriff und sollte unterbunden und untersucht werden.

In der neuesten Version wurde EMET um eine Alert-only-Funktion erweitert, die es erleichtern dürfte, das Tool in einer größeren IT-Umgebung bereitzustellen. Mit der Alert-only-Funktion können IT-Administratoren EMET in einem Überwachungsmodus laufen lassen.

Auf diesem Weg lässt sich feststellen, ob auf den Workstations des Unternehmens legitime Anwendungen ausgeführt werden, die sich auffällig verhalten und im Normalmodus unterbrochen werden würden. Die IT-Administratoren können das Problem dann untersuchen und, sofern erforderlich, Ausnahmen für die betreffenden Anwendungen konfigurieren.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42427151 / Schwachstellen-Management)