Demo-Exploit umgeht DEP-Schutz von Windows

Microsoft hat in den letzten Jahren einige Techniken in Windows eingeführt, die es Malware-Programmierern erschweren sollen, Sicherheitslücken auszunutzen und schädlichen Code einzuschleusen. Dazu zählen etwa DEP und ASLR. Ein Forscher hat jetzt Code veröffentlicht, der zumindest DEP umgehen kann.

Bei DEP (Data Execution Prevention, Datenausführungsverhinderung) handelt es sich um eine Präventivmaßnahme, die die Trennung von Code und Daten forcieren soll. Sie soll verhindern, dass Code ausgeführt werden kann, der zunächst in einen für Daten vorgesehenen Speicherbereich geladen wurde. Diese Maßnahme hat Microsoft mit Windows XP Service Pack 2 eingeführt.

ASLR (Address Space Layout Randomization) ist eine weitere Schutztechnik, die dafür sorgen soll, dass Einsprungadressen für eingeschleusten Code nicht so einfach vorhersagbar sind. Sie soll etwa die Ausnutzung von Sicherheitslücken erschweren, die auf Pufferüberläufen basieren. Sie ist ab Windows Vista verfügbar, in Teilen auch bei Mac OS X (ab 10.5) und Linux (ab Kernel 2.6.12).

Der Google-Sicherheitsforscher Berend-Jan Wever (Nickname "SkyLined"), der bereits die so genannte Heap-Spraying-Technik publik gemacht hat, demonstriert mit kürzlich veröffentlichtem Beispiel-Code, dass sich DEP umgehen lässt. Dies gilt in seinem Beispiel zumindest dann, wenn ASLR nicht aktiviert ist. Entsprechender Angriffs-Code ist also unter Windows XP direkt einsetzbar, bei Vista und Windows 7 muss auch noch ASLR ausgetrickst werden.

Die Umgehung von ASLR auf 32-Bit-Systemen gilt jedoch als wenig anspruchsvoll, verglichen mit 64-Bit-Systemen, da nur 16 Bit für zufällig erzeugte Speicheradressen zur Verfügung stehen. Der Adressraum ist zu klein, um mit ASLR allein wirksam vor einer endlichen Zahl von wiederholten Angriffsversuchen geschützt zu werden.