Schwachstelle in wichtiger Sicherheitsfunktion von Windows 10 aufgedeckt

Der Sicherheitsforscher Will Dormann vom CERT/CC der Carnegie Mellon University hat eine Schwachstelle in einer Sicherheitsfunktion von Windows 10 entdeckt, die speicherbasierte Angriffe begünstigt. Sie steckt in der Funktion Adress Space Layout Randomization (ASLR), die unter bestimmten Bedingungen Anwendungen offenbar keine zufälligen, sondern feste Speicheradressen zuweist.

Speicherbasierte Angriffe auf Anwendungen sind immer dann einfacher, wenn der Angreifer deren Speicheradresse kennt. ASLR soll genau das verhindern, indem es zufällige Adressen generiert, die nicht erraten werden können. Eingeführt mit Windows Vista, wurde die Sicherheitsfunktion ab Windows 8 erweitert, um die zufällige Vergabe von Speicheradressen zu erzwingen – was Microsoft Force ASLR oder System-Wide Mandatory ASLR nennt.

Diese Erweiterung gilt für Anwendungen, die ASLR eigentlich nicht anbieten. Bisher ließ sie sich über das Enhanced Mitigation Experience Toolkit (EMET) aktivieren. Seit Windows 10 Fall Creators Update ist EMET ein fester Bestandteil den Windows Defender Exploit Guard (WDEG).

Das Problem ist nun, dass Windows 8 und 10 bei einem erzwungenen ASLR Programmen stets dieselbe Speicheradresse zuweisen. “Ab Windows 8.0 fehlt dem systemweit erzwungenen ASLR jegliche Entropie, was es eigentlich nutzlos macht”, kommentierte Dormann per Twitter. “Windows Defender Exploit Guard für Windows 10 sitzt im selben Boot.”

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Auf den Bug stieß Dorman bei der Analyse einer kürzlich entdeckten Schwachstelle im Microsoft Equation Editor. Das ist eine vor 17 Jahren kompilierte Software. Damals gab es noch kein ASLR. Ein Administrator könne ASLR für den Microsoft Equation Editor aktivieren und damit der Anwendung eine vorhersehbare Speicheradresse zuordnen. “Das macht die Ausnutzung bestimmter Arten von Anfälligkeiten leichter”, heißt es in einem von Dorman verfassten Advisory.

Darin weist er auch darauf hin, dass der Fehler nicht nur die Sicherheitsfunktion ASLR unter bestimmten Bedingungen unter Windows 10 und Windows 8 unbrauchbar macht, beide Betriebssysteme seien damit zudem unsicherer als Windows 7. “Tatsächlich ist unter Windows 7 mit systemweitem ASLR per EMET die Speicheradresse des Equation Editor nach jedem Neustart anders.” Unter Windows 10 mit EMET oder WDEG laute die Adresse jedoch stets 0x10000. “Schlussfolgerung: Windows 10 kann ASLR nicht so gut erzwingen wie Windows 7.”

Eine Lösung des Problems liegt derzeit nicht vor. In seinem Advisory beschreibt der Forscher jedoch einen Workaround. Eine Stellungnahme von Microsoft steht noch aus.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago