Forscher erzeugten Schadcode automatisiert basierend auf Sicherheits-Patches
Anhand von Sicherheits-Patches für Software haben Forscher einen Automatismus entwickelt, um Schadcode zu generieren, der das zu schließende Sicherheitsleck ausnutzt. Solche Mechanismen könnten schon bald eine Gefahr für Anwender bedeuten, weil dadurch wenige Minuten nach Bereitstellung eines Patches bereits passender Schadcode im Internet auftauchen könnte.
Gemeinsam haben die Forscher David Brumley und Pongsin Poosankam von der Carnegie Mellon School of Computer Science, Dawn Song von der Berkeley-Universität von Kalifornien sowie Jiang Zheng von der Universität in Pittsburgh untersucht, ob sich Sicherheitslücken automatisiert ausnutzen lassen, indem ein Sicherheits-Patch mit der Datei verglichen wird, in der ein Sicherheitsleck geschlossen werden soll.
Entsprechende Verfahren wurden auf fünf unterschiedliche Microsoft-Produkte angewandt, für die der Konzern Sicherheits-Patches bereitgestellt hatte. Bei diesen Verfahren gelang es wiederholt, innerhalb weniger Minuten automatisiert die betreffenden Sicherheitslecks auszunutzen und Applikationen zum Absturz zu bringen, wenn der Patch noch nicht eingespielt war. Nach mehreren Versuchen war es dann auch möglich, Schadcode einzuschleusen und auszuführen, was ebenfalls nach wenigen Minuten erledigt war. Die Forscher sehen damit ihre Hypothese belegt und warnen davor, dass diese Mechanismen schon bald Anwendung finden könnten.
Hierbei sehen sie als Problem, dass Anwender einem hohen Risiko ausgesetzt sind, wenn sie Sicherheits-Patches nicht unverzüglich einspielen. Hierbei helfe die automatische Update-Funktion des Betriebssystems nur bedingt, weil die Aktualisierungen nur schrittweise verteilt würden. Mehr als 80 Prozent der Windows-Anwender erhalten Patches demnach erst 24 Stunden nachdem diese veröffentlicht wurden. Dadurch hätten Angreifer bis zu 24 Stunden lang Zeit, eine solche Sicherheitslücke auszunutzen.
Daher fordern sie, dass Microsoft Sicherheits-Patches unmittelbar mit der Verfügbarkeit bei allen Anwendern einspielt, um das Risiko zu verringern, Opfer einer entsprechenden Attacke zu werden. Bei Server-Produkten und bei Applikationen im Unternehmenseinsatz ist ein solches Vorgehen allerdings kaum möglich, weil die Patches zuvor auf Verträglichkeit mit anderer Software geprüft werden müssen.
quelle: golem
link: http://www.cs.cmu.edu/~dbrumley/pubs/apeg.pdf
ich wusste bereits seit einiger zeit, dass diverse leute an sowas arbeiten und nun scheinen ja die ersten damit schon recht weit zu sein.
für den anwender bedeutet das dann entweder automatisch und so schnell wie möglich updates einzuspielen, bzw. zusätzlich noch sehr gute präventionsmassnahmen zu aktivieren, z.b. vista sp1 64bit.
für server wird man wohl kaum innerhalb von 24 stunden jeden patch der notwendig ist, so einfach einspielen, denn die vergangenheit hat gezeigt, dass die nebeneffekte manchmal schlimmer sein können, als das risiko ohne patch zu laufen. auch hier ist dann ein OS mit präventiven massnahmen gefragt, die das ausnutzen von schwachstellen so weit wie möglich unterbindet bzw. einschränkt. als beispiel seien hier sicherheitsfunktionen wie ASLR, safe-seh, safe-unlink, stack-canary oder signed drivers genannt.