Forscher entdeckt Schwachstelle in wichtiger Sicherheitsfunktion von Windows 10

Der Fehler betrifft Windows 8 und Windows 10. Das systemweit erzwungene ASLR vergibt offenbar statische statt zufällige Speicheradressen. Das begünstigt speicherbasierte Angriffe und macht Windows 8 und 10 in diesem Punkt unsicherer als Windows 7.

Der Sicherheitsforscher Will Dormann des CERT/CC der Carnegie Mellon University hat eine Schwachstelle in einer Sicherheitsfunktion von Windows 10 entdeckt, die speicherbasierte Angriffe begünstigt. Sie steckt in der Funktion Adress Space Layout Randomization (ASLR), die unter bestimmten Bedingungen Anwendungen offenbar keine zufälligen, sondern feste Speicheradressen zuweist.

Bug entdeckt (Bild: Shutterstock)Speicherbasierte Angriffe auf Anwendungen sind immer dann einfacher, wenn der Angreifer deren Speicheradresse kennt. ASLR soll genau das verhindern, indem es zufällige Adressen generiert, die nicht erraten werden können. Eingeführt mit Windows Vista, wurde die Sicherheitsfunktion ab Windows 8 erweitert, um die zufällige Vergabe von Speicheradressen zu erzwingen – was Microsoft Force ASLR oder System-Wide Mandatory ASLR nennt.

Diese Erweiterung gilt für Anwendungen, die ASLR eigentlich nicht anbieten. Bisher ließ sie sich über das Enhanced Mitigation Experience Toolkit (EMET) aktivieren. Seit Windows 10 Fall Creators Update ist EMET ein fester Bestandteil den Windows Defender Exploit Guard (WDEG).

Das Problem ist nun, dass Windows 8 und 10 bei einem erzwungenen ASLR Programmen stets dieselbe Speicheradresse zuweisen. „Ab Windows 8.0 fehlt dem systemweit erzwungenen ASLR jegliche Entropie, was es eigentlich nutzlos macht“, kommentierte Dormann per Twitter. „Windows Defender Exploit Guard für Windows 10 sitzt im selben Boot.“

Auf den Bug stieß Dorman bei der Analyse einer kürzlich entdeckten Schwachstelle im Microsoft Equation Editor, einer vor 17 Jahren kompilierten Software – als es noch kein ASLR gab. Ein Administrator könne ASLR für den Microsoft Equation Editor aktivieren und damit der Anwendung eine vorhersehbare Speicheradresse zuordnen. „Das macht die Ausnutzung bestimmter Arten von Anfälligkeiten leichter“, heißt es in einem von Dorman verfassten Advisory.

Darin weist er auch darauf hin, dass der Fehler nicht nur die Sicherheitsfunktion ASLR unter bestimmten Bedingungen unter Windows 10 und Windows 8 unbrauchbar macht, beide Betriebssysteme seien damit zudem unsicherer als Windows 7. „Tatsächlich ist unter Windows 7 mit systemweitem ASLR per EMET die Speicheradresse des Equation Editor nach jedem Neustart anders.“ Unter Windows 10 mit EMET oder WDEG laute die Adresse jedoch stets 0x10000. „Schlussfolgerung: Windows 10 kann ASLR nicht so gut erzwingen wie Windows 7.“

Eine Lösung des Problems liegt derzeit nicht vor. In seinem Advisory beschreibt der Forscher jedoch einen Workaround. Eine Stellungnahme von Microsoft steht noch aus.

ANZEIGE

Aktuelle Studie zur Dokumentensicherheit in deutschen Büros

Eine aktuelle Statista-Umfrage (im Auftrag von KYOCERA Document Solutions) hat ergeben: Der deutsche Mittelstand hat Nachholbedarf beim Thema Dokumentensicherheit. Mehr als die Hälfte der befragten Mitarbeiter hat Zugriff auf Dokumente, die nicht für sie bestimmt sind. Weitere Infos und Tipps zur Optimierung erhalten Sie im gratis E-Book.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Microsoft, Security, Sicherheit, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Forscher entdeckt Schwachstelle in wichtiger Sicherheitsfunktion von Windows 10

Kommentar hinzufügen
  • Am 21. November 2017 um 19:34 von Gast

    Es gibt einen aktuellen Artikel von MS, der etwas Licht in die Sache bringt.
    Soweit ich das lese wurde vom CERT etwas viel heiße Luft verbreitet, wenn auch nützlich, da man sich mit dem Thema mal befasst.
    https://goo.gl/c7zRDF

  • Am 22. November 2017 um 10:22 von H.Ehrhardt

    …. finde ich einerseit gut dass Sie mit diesem Artikel umfassend informieren. Was ich aber extrem negativ finde ist, dass Sie dermaßen viele Details/Internas veröffentlich und damit alle Kriminellen darauf aufmerksam werden und es so leicht haben in das Thema einzusteigen bzw. diese Lücke für Angriffe zu nutzen!!!!
    Es ist doch manchmal sinnvoll weniger Details zu nennen.

    H.E.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *