Microsoft EMET 2.0: So soll Windows sicherer werden

Wenn Microsoft in Windows neue Sicherheitskonzepte einbringen will, etwa gegen Exploits für Pufferüberläufe und Null-Pointer-Dereferenzierungen, ist das in der Praxis oft schwierig. Techniken wie Data Execution Prevention (DEP), und Address Space Layout Randomization (ASLR) führen bei zahlreichen Programmen dazu, dass sie nicht mehr laufen.

Vor allem ältere Anwendungen sind betroffen. Aber auch viele aktuelle Applikationen, die erst nach der Einführung einer neuen Sicherheitstechnik entwickelt wurden, verweigern ihren Dienst, wenn bestimmte Security-Features eingeschaltet sind.

In der Regel geht Microsoft so vor, dass neue Sicherheitsfeatures standardmäßig abgeschaltet sind. Ein Applikationshersteller kann beim Linken einer neuen Version seines Programms ein Flag setzen, dass seine Anwendung mit dem Feature kompatibel ist. Dann schaltet Windows das Feature für diese Applikation ein.

Das nützt allerdings wenig für ältere Applikationen und für neue Programme von Herstellern, die sich um die Sicherheit wenig Gedanken machen. In der kommerziellen Softwareentwicklung ist es oft so, dass sich die derzeitig angestellten Programmierer nur mit Teilen des Codes auskennen. Häufig benutzen sie alte Routinen, von denen sie nicht mehr wissen, als dass sie irgendwann jemand geschrieben hat, der nicht mehr bei der Firma ist.

Manchmal stellen Entwickler fest, dass auch die neueste Version ihres Programms mit DEP oder ASLR nicht läuft und lassen es dabei bewenden. Sich in den alten Code einzuarbeiten kostet zu viel Zeit.

Für den Anwender ist das wenig hilfreich. Aus diesem Dilemma will Microsoft mit seinem "Enhanced Mitigation Experience Toolkit" (EMET) helfen. Letzte Woche ist die Version 2.0 erschienen, die zum Download bereit steht.

Die generelle Funktionsweise von EMET ist denkbar einfach: Die verschiedenen Sicherheitstechnologien lassen sich für jede Anwendung einzeln ein- oder ausschalten. So können auch ältere Programme von der erhöhten Sicherheit profitieren.

Mit der jetzt erschienenen Version 2.0 lassen sich die Technologien Data Execution Prevention (DEP), Structured Exception Handling Overwrite Protection (SEHOP), Nullpointer-Dereferenzierungsschutz (NullPage), Heap Spray, Export Address Table Access Filtering (EAF) und Address Space Layout Randomization (ASLR) steuern.

Nicht mit dabei ist ein Schutz gegen das sogenannte Remote Binary Planting, auch DLL-Hijacking genannt. Vor zwei Wochen wurde bekannt, dass zahlreiche Windows-Anwendungen mit Remote Binary Planting kompromittiert werden können. Darunter befinden sich Firefox, Word 2007 und Powerpoint 2007/2010.

Microsoft will EMET 2.0 allerdings in regelmäßigen Abständen updaten. Ein Schutz gegen Remote Binary Planting wird daher vermutlich nicht lange auf sich warten lassen. Derzeit existiert nur ein vorübergehendes Mitigation Tool, das nur durch direkte Eingriffe in die Registry bedient werden kann.