Ist ne komische Überschrift ich weiß, aber die Erklärung kommt. Es gibt viele Seiten, die beschäftigen sich mit Angriffen, Exploits und was weiß ich nicht noch allem. Einem normalen Nutzer wird dabei immer Angst und Bange. Wenn diese Fehler in den Beiträgen öffentlich beschrieben werden, sind sie aber schon längst behoben.
Denn eines steht fest: Schwachstellen wird es immer geben, solange es Software gibt. Will Dormann, Sicherheitsanalyst im CERT Coordination Center hat sich einen aktuellen Exploit im VLC unter Windows vorgenommen, dessen Lücke schon geschlossen wurde. Es geht um die mingw-w64, die standardmäßig ausführbare Dateien erzeugt, die sich für ASLR anmelden, aber nicht mit ASLR kompatibel sind.
ASLR = Address Space Layout Randomization = Zufällige Speicherzuweisung. Eine Schutzmaßnahme die auch im Windows Defender integriert ist. In dem Fall bedeutete es, dass ausführbare Dateien, die von mingw-w64 erstellt wurden, anfällig für ROP-Angriffe (Return-oriented Programming) sind. Wer sich dazu alles durchlesen möchte, findet es HIER.
Kommen wir jetzt zur Überschrift. Denn Will Dormann hat einen schönen Satz eingebaut der zeigt, dass Probleme mit Exploits eher in der (Antiviren)-Software behoben werden sollte, anstatt als Fix in der Software selber. Denn Exploits können in vielen Programmen ausgeführt werden. Blockiert man die Angriffe aber direkt in der (AV)-Software, dann werden auch alle Programme davon abgehalten, die Exploits auszuführen.
"Die Fähigkeit, ganze Klassen von Software-Schwachstellen zu entschärfen, ist eine mächtige Fähigkeit. Einer der Gründe, warum wir Mitigation-Tools wie EMET oder Windows Defender Exploit Guard, den Ersatz für EMET auf der Windows 10-Plattform, stark fördern, ist, dass der Schutz vor Exploits nicht auf die spezifische Schwachstelle des Tages beschränkt ist."
Naja, schön und gut, aber es spricht auch nichts dagegen, eine Blockierung sowohl im entsprechenden Programm als auch in der AV-Software zu integrieren.
So hat Will es doch auch geschrieben. Erst AV dann Software ist effizienter.
Sorry, vielleicht stelle ich mich gerade blöd an, aber wo genau hat er das geschrieben?
For this reason, software exploit mitigations are usually much more valuable than individual software fixes.
Bedeutet ja nicht, dass die Software selber nicht gepatcht werden muss.
Also anscheinend bin ich unfähig, eine erleuchtende Erkenntnis aus dem Artikel zu beziehen.
Wenn die Lösung pauschal so einfach wäre
Herr Dormann Vorschlag alle Exploits strikt über die AV Software zu blocken ist riskant, da man bei AV Update fürchten muss, dass Software X nicht mehr geht.
Das kann schnell passieren, wenn bestimmter Code von der Software für gute Zweck genutzt und benötigt wird, aber leider auch für böse Zwecke als Exploit genutzt werden kann.
Wenn man jetzt strikt bestimmte Codeausführung blockiert, wird die gutartige Sofware X wohl abstürzen und der Anwender wird auf die Barrikaden gehen . Deshalb muss zusätzlich mit einer Erkennung für Gut und Böse geben.
So ähnlich mache das doch schon die meisten AV Software Produkte.
Und die Bösen sind ja nicht Blöd und wissen gegen solche Exploit Erkennung zu tarnen.
Denn auch AV Software hat Ihre Grenzen und ist nicht fehlerfrei, da es auch Software geschrieben von Menschen ist.
Gutes Argument, ibecf
Es erfordert sicherlich höchste Aufmerksamkeit, um solche Exploits sicher (einigermaßen) ausfindig zu machen. Sicherheitsexperten müssen faktisch die Rolle eines Exploit-Attacker einnehmen, um solche „Lücken“ in der Software mit Hilfe von Definitionen des Defenders abzuwehren. Es ist der umgekehrte Weg: Vor dem Patch die Abwehr durch Defender.
Genau das ist die Vorgehensweise von EMET gewesen, der seit einigen Tagen nicht mehr supported wird.