Exploit Kits umgehen erweiterten Windows-Schutz
Das populäre Exploit-Kit Angler kann selbst speziell gehärtete Windows-Systeme erfolgreich attackieren und mit Schad-Software infizieren.
Mit Tools wie Microsofts EMET kann man ein Windows-System gegen Angriffe härten. Doch die Angreifer schlafen nicht. FireEye hat jetzt erstmals ein Exploit-Kit gesichtet, das ganz gezielt die zusätzlichen Schutzmechanismen von EMET umgeht, um sein Ziel zu erreichen: Das System des Opfers mit Malware wie Erpressungs- oder Online-Banking-Trojanern zu infizieren.
Exploit-Kits werden im Untergrund gehandelt und zum Teil auch als Malware-As-A-Service-Angebote vermietet. Seit einigen Jahren zeichnet sich dabei Angler immer wieder als technisch weit entwickelt aus. Wie FireEye dokumentiert, legen dessen Entwickler jetzt erneut nach und attackieren auch speziell geschützte Windows-Systeme.
Angler mit Anti-Anti-ROP
Ein konkretes Beispiel dafür ist der zusätzliche Schutz, den EMET der Data Execution Prevention (DEP) angedeihen lässt. DEP wird gewöhnlich durch eine Technik namens Return Oriented Programming umgangen, die sich den Exploit-Code aus bereits vorhandenen Code-Schnippseln zusammenstellt. Deshalb enthält EMET spezielle Anti-ROP-Vorkehrungen.
Die Angler-Entwickler umgehen in ihrem Exploit diesen Anti-ROP-Schutz. Dazu rufen sie die in Flash beziehungsweise Silverlight eingebauten Speicherverwaltungsfunktionen auf, um Speicherbereiche als ausführbar zu markieren (PAGE_EXECUTE_READWRITE). FireEye erklärt in seinem Blog-Beitrag auch, wie Angler weitere EMET-Techniken wie Export Address Table Filtering (EAF/EAF+) umgeht.
Dass man EMET-Sicherheitsmechanismen umgehen kann, ist durchaus bekannt. Allerdings war dies vor allem die Domäne von hochspezialisierten Exploits, wie sie für gezielte Angriffe, etwa im Rahmen von Advanced Persistent Threats (APTs) zum Einsatz kamen. Dass jetzt ein Feld-Wald-und-Wiesen-Exploit-Kit wie Angler solche Fähigkeiten an den Tag legt, gibt dem Massengeschäft mit Malware eine neue, besorgniserregende Qualität.
Quelle: http://heise.de/-3235262