Die Sicherheitslücke ist ohne die Abschaltung des 8086-Emulationsmodus nicht zu schließen. Der Real-Mode des 8086 hat keinen Speicherschutz. Daher muss eine Emulation so programmiert sein, dass innerhalb des 20-Bit-Adressraums einer virtuellen 80×86-Maschine keine Prüfung auf Speicherzugriffsrechte stattfindet. Zudem muss das feste Adressierungsschema des 8086 Speicheradresse = Segmentregister * 16 + Offsetregister exakt im Adressraum des Protected Mode abgebildet werden. Somit können Entwickler Ring3-Code nur den Vollzugriff auf den gesamten Adressraum der virtuellen 8086-Maschine geben.
Grundsätzlich lässt sich der DOS- und 16-Bit-Windows-Emulationsmodus abschalten, indem man den DWORD-Wert VDMDisallowed im Registry-Key HKEY_LOCAL_MACHINE
Da der Exploit ohne tiefe Kenntnisse ausgenutzt werden kann, sollte man vorher prüfen, ob sich nicht bereits Benutzer in die lokale Administratorgruppe hinzugefügt haben. Diese Prüfung muss für jeden 32-Bit-Arbeitsplatz durchgeführt werden.
Ferner ist zu bedenken, dass vor allem Laptop-Nutzer die Möglichkeit haben, den VDMDisallowed-Parameter in der Registry wieder auf null zu setzen. Dazu benötigen sie nur eine Installations-DVD ab Windows Vista. Dann können sie den Software-Hive im Verzeichnis C:WindowsSystem32config im Registry-Editor laden und ändern.
Nach der Änderung loggt man sich ohne Netzwerkverbindung ein. Das stellt sicher, dass eine eventuelle Group-Policy nicht greift. Erst wenn der Nutzer die Konsole des System-Kontos geöffnet hat, verbindet er sich mit dem Firmennetz.
Gegen Registry-Manipulationen mit einem Boot-Medium schützt nur eine Festplattenverschlüsselung wie Bitlocker. Neben der genannten Registry-Manipulation gibt es seit vielen Jahren fertige Registry-Manipulationstools, die direkt die SAM modifizieren und so Administratorrechte verschaffen. Dazu gehört beispielsweise ntpasswd.
Darunter ist ein weiterer Sandbox-Escape. Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und…
Sie steigt auf 8 Prozent Wachstum in diesem Jahr. Der Bereich IT-Services wächst in diesem…
Die Hintermänner stammen mutmaßlich aus Russland und haben staatliche Unterstützung. Die Backdoor Kapeka wird seit…
Cyberkriminelle haben auf Zahlungs- und Zugangsdaten abgesehen. LinkedIn landet auf dem ersten Platz. Zudem verhelfen…
Die Paysafecard hat sich in den letzten Jahren als eine der beliebtesten und sichersten Zahlungsmethoden…
Texte können nun im PDF Viewer farblich markiert werden. Firefox blockiert zudem mehr verdächtige Downloads…