Patch-Analyse: Sicherheitslücken automatisch ausnutzen

  • Forscher erzeugten Schadcode automatisiert basierend auf Sicherheits-Patches


    Anhand von Sicherheits-Patches für Software haben Forscher einen Automatismus entwickelt, um Schadcode zu generieren, der das zu schließende Sicherheitsleck ausnutzt. Solche Mechanismen könnten schon bald eine Gefahr für Anwender bedeuten, weil dadurch wenige Minuten nach Bereitstellung eines Patches bereits passender Schadcode im Internet auftauchen könnte.
    Gemeinsam haben die Forscher David Brumley und Pongsin Poosankam von der Carnegie Mellon School of Computer Science, Dawn Song von der Berkeley-Universität von Kalifornien sowie Jiang Zheng von der Universität in Pittsburgh untersucht, ob sich Sicherheitslücken automatisiert ausnutzen lassen, indem ein Sicherheits-Patch mit der Datei verglichen wird, in der ein Sicherheitsleck geschlossen werden soll.


    Entsprechende Verfahren wurden auf fünf unterschiedliche Microsoft-Produkte angewandt, für die der Konzern Sicherheits-Patches bereitgestellt hatte. Bei diesen Verfahren gelang es wiederholt, innerhalb weniger Minuten automatisiert die betreffenden Sicherheitslecks auszunutzen und Applikationen zum Absturz zu bringen, wenn der Patch noch nicht eingespielt war. Nach mehreren Versuchen war es dann auch möglich, Schadcode einzuschleusen und auszuführen, was ebenfalls nach wenigen Minuten erledigt war. Die Forscher sehen damit ihre Hypothese belegt und warnen davor, dass diese Mechanismen schon bald Anwendung finden könnten.


    Hierbei sehen sie als Problem, dass Anwender einem hohen Risiko ausgesetzt sind, wenn sie Sicherheits-Patches nicht unverzüglich einspielen. Hierbei helfe die automatische Update-Funktion des Betriebssystems nur bedingt, weil die Aktualisierungen nur schrittweise verteilt würden. Mehr als 80 Prozent der Windows-Anwender erhalten Patches demnach erst 24 Stunden nachdem diese veröffentlicht wurden. Dadurch hätten Angreifer bis zu 24 Stunden lang Zeit, eine solche Sicherheitslücke auszunutzen.


    Daher fordern sie, dass Microsoft Sicherheits-Patches unmittelbar mit der Verfügbarkeit bei allen Anwendern einspielt, um das Risiko zu verringern, Opfer einer entsprechenden Attacke zu werden. Bei Server-Produkten und bei Applikationen im Unternehmenseinsatz ist ein solches Vorgehen allerdings kaum möglich, weil die Patches zuvor auf Verträglichkeit mit anderer Software geprüft werden müssen.


    quelle: golem


    link: http://www.cs.cmu.edu/~dbrumley/pubs/apeg.pdf



    ich wusste bereits seit einiger zeit, dass diverse leute an sowas arbeiten und nun scheinen ja die ersten damit schon recht weit zu sein.
    für den anwender bedeutet das dann entweder automatisch und so schnell wie möglich updates einzuspielen, bzw. zusätzlich noch sehr gute präventionsmassnahmen zu aktivieren, z.b. vista sp1 64bit.


    für server wird man wohl kaum innerhalb von 24 stunden jeden patch der notwendig ist, so einfach einspielen, denn die vergangenheit hat gezeigt, dass die nebeneffekte manchmal schlimmer sein können, als das risiko ohne patch zu laufen. auch hier ist dann ein OS mit präventiven massnahmen gefragt, die das ausnutzen von schwachstellen so weit wie möglich unterbindet bzw. einschränkt. als beispiel seien hier sicherheitsfunktionen wie ASLR, safe-seh, safe-unlink, stack-canary oder signed drivers genannt.

    Unterwegs sein


    das ist es doch
    per pedes per Rad
    per Bahn per Flugzeug
    per Kopf in ferne Zonen
    zu finden was unauffindbar
    jenseits der Grenzen
    deiner selbst

    Einmal editiert, zuletzt von jcy ()

  • Na klasse :evil:
    Hat man zuhause also den PC nicht jeden Tag an und sieht auch nicht jeden Tag gleich nach Updates hat man in Zukunft eher das Nachsehen, den wer schafft es schon täglich nach Updates zu sehen und gleich zu testen ob die Installierte Software dann noch läuft.


    Was für eine PC zuhause oder im Büro je evtl. noch grade so gehen mag (außer die dienstlich verwendete Software läuft nach einem Update nicht mehr) wird für einen Server eher zur Katastrophe führen. Da hieße es Updates einspielen ohne Rücksicht ob die Anwendung noch läuft.

  • Naja, der Dienst-PC kann auch nicht einfach sofort gepatcht werden, zumindest suche ich mir für meinen ein geeignetes Fenster, in dem ich genug Zeit für eine Systemwiederherstellung hätte.


    Bei Firmenservern wird mit Sicherheit nicht ohne wenn und aber eingespielt. Wer setzt sich einem Problemrisiko von sicherlich > 50% aus, wenn er ein Angriffsrisiko von deutlich unter 50% hat?


    Denn ein Angriff muss erstmal gefahren werden, ausserdem muss er durch andere Sicherheitsmechanismen wie Firewalls/WAFs durch...


    Welche Konsequenz ein erfolgreicher Angriff hat, steht dabei natürlich auf einem ganz anderen Blatt, das wird aber oft nicht angeschaut...

    spacie

    ====================
    Duff is best !
    :prost:
    ====================