{"id":6997,"date":"2012-09-19T14:51:09","date_gmt":"2012-09-19T12:51:09","guid":{"rendered":"http:\/\/tuxproject.de\/blog\/?p=6997"},"modified":"2012-09-19T14:54:02","modified_gmt":"2012-09-19T12:54:02","slug":"windowsanwendungen-abschotten-mit-emet","status":"publish","type":"post","link":"https:\/\/tuxproject.de\/blog\/2012\/09\/windowsanwendungen-abschotten-mit-emet\/","title":{"rendered":"Windowsanwendungen abschotten mit EMET"},"content":{"rendered":"

(Vorbe\u00admerkung: Es fol\u00adgt ein lang\u00adweiliger Beitrag \u00fcber Sicher\u00adheitsvorkehrun\u00adgen von Microsoft Win\u00addows. Bei Desin\u00adter\u00adesse an diesem The\u00adma ist san\u00adftes Ignori\u00aderen die emp\u00adfoh\u00adlene Vorge\u00adhensweise.)<\/em><\/p>\n

Das Gejam\u00admer ist mal wieder gro\u00df:<\/a><\/p>\n

Das Bun\u00adde\u00adsamt f\u00fcr Sicher\u00adheit in der Infor\u00adma\u00adtion\u00adstech\u00adnik (BSI) hat eine aktuelle Sicher\u00adheitswar\u00adnung f\u00fcr den Inter\u00adnet Explor\u00ader von Microsoft her\u00adaus\u00adgege\u00adgen. Das Amt weist Inter\u00adnet\u00adnutzer auf eine bish\u00ader unbekan\u00adnte, kri\u00adtis\u00adche Schwach\u00adstelle in dem Inter\u00adnet-Zugang\u00adspro\u00adgramm hin.<\/p><\/blockquote>\n

(Wie man auf etwas hin\u00adweisen kann, was \u201cunbekan\u00adnt\u201d ist, erschlie\u00dft sich mir nicht.) <\/p>\n

Die L\u00f6sung?<\/p>\n

Ein Sicher\u00adheit\u00adsup\u00addate des Her\u00adstellers ist derzeit nicht ver\u00adf\u00fcg\u00adbar. Daher emp\u00adfiehlt das BSI allen Nutzern des Inter\u00adnet Explor\u00aders, so lange einen alter\u00adna\u00adtiv\u00aden Brows\u00ader f\u00fcr die Inter\u00adnet\u00adnutzung zu ver\u00adwen\u00adden, bis der Her\u00adsteller ein Sicher\u00adheit\u00adsup\u00addate zur Ver\u00adf\u00fc\u00adgung gestellt hat.<\/p><\/blockquote>\n

Tja, geht halt nicht.<\/p>\n

Viele Win\u00addowsan\u00adwen\u00addun\u00adgen, darunter einige RSS-Leser und sog\u00adar Dateiman\u00adag\u00ader wie (der anson\u00adsten sehr gute) xplor\u00ader\u00b2<\/a>, set\u00adzen intern auf die Inter\u00adnet-Explor\u00ader-engine<\/em> Tri\u00addent zum Anzeigen einiger Inhalte, ver\u00adwen\u00adden also \u201cden Inter\u00adnet Explor\u00ader\u201d. Die betr\u00ade\u00adf\u00adfende Sicher\u00adheit\u00adsl\u00fccke ist also auch mit einem alter\u00adna\u00adtiv\u00aden Brows\u00ader nicht zu beheben.<\/p>\n

Es gibt Notl\u00f6\u00adsun\u00adgen wie das Mozil\u00adla ActiveX Con\u00adtrol<\/a> neb\u00adst passen\u00addem \u201cPatch\u00ader\u201d (unten auf der Seite); jedoch ist der Mehrw\u00adert in Zweifel zu ziehen: Zum Einen ist nicht gew\u00e4hrleis\u00adtet, dass die betr\u00ade\u00adf\u00adfende Anwen\u00addung nach dem Ein\u00adspie\u00adlen des Mozil\u00adla-con\u00adtrols<\/em> noch prob\u00adlem\u00adlos funk\u00adtion\u00adiert, zum Anderen muss fest\u00adge\u00adhal\u00adten wer\u00adden:<\/p>\n

Es gibt keinen sicheren Brows\u00ader.<\/b><\/p>\n

Was heute den Inter\u00adnet Explor\u00ader bef\u00e4llt, kann mor\u00adgen auch Fire\u00adfox, Opera oder den Google-M\u00fcll befall\u00aden. Die Liste von bekan\u00adnten exploits<\/em> (also Code zum Aus\u00adnutzen der Schwach\u00adstellen) w\u00e4chst st\u00e4ndig, gele\u00adgentlich sind auch ver\u00adschiedene Web\u00adbrows\u00ader betrof\u00adfen. Win\u00addows selb\u00adst besitzt diverse einge\u00adbaute Tech\u00adniken, um solche exploits<\/em> zu behin\u00addern, etwa ASLR (Address Space Lay\u00adout Ran\u00addom\u00adiza\u00adtion, also Adressver\u00adw\u00fcr\u00adfelung<\/a>), DEP (Data Exe\u00adcu\u00adtion Pre\u00adven\u00adtion, also \u2014 bl\u00f6der Name \u2014 Date\u00adnaus\u00adf\u00fchrungsver\u00adhin\u00adderung<\/a>), SEHOP, EAF und noch einige lustige Abk\u00fcrzun\u00adgen, jedoch m\u00fcssen diese struk\u00adturbe\u00add\u00adingt sep\u00ada\u00adrat f\u00fcr jede Anwen\u00addung aktiviert wer\u00adden, sofern sie im Sys\u00adtem nicht glob\u00adal vorgegeben sind.<\/p>\n

Zum Gl\u00fcck gibt es EMET<\/a>.<\/p>\n

EMET ist ein Microsoft\u00adpro\u00adgramm, das erw\u00e4h\u00adnte Sicher\u00adheits\u00adma\u00df\u00adnah\u00admen f\u00fcr jede Anwen\u00addung sep\u00ada\u00adrat \u201cscharf schal\u00adten\u201d kann, im Falle von SEHOP, ASLR und DEP sog\u00adar sys\u00adtemweit. Das sieht unge\u00adf\u00e4hr so aus:<\/p>\n

<\/a><\/p>\n

Oben im Fen\u00adster ist zu sehen, dass DEP und SEHOP noch option\u00adal sind. Es ist m\u00f6glich, \u00fcber die Schalt\u00adfl\u00e4che \u201cCon\u00adfig\u00adure Sys\u00adtem\u201d bei\u00adde Tech\u00adniken glob\u00adal zu aktivieren. Dies k\u00f6n\u00adnte allerd\u00adings zu Prob\u00adle\u00admen mit eini\u00adgen Anwen\u00addun\u00adgen f\u00fchren, die sich einzeln aus\u00adnehmen lassen; da dies aber oft viel Aufwand w\u00e4re, empfehle ich, sich im Fol\u00adgen\u00adden auf Pro\u00adgramme zu beschr\u00e4nken, die die h\u00e4u\u00adfig\u00adsten Ein\u00adfall\u00adstore f\u00fcr Schad\u00adpro\u00adgramme darstellen, n\u00e4m\u00adlich Mail\u00adpro\u00adgramme und Web\u00adbrows\u00ader.<\/p>\n

Da DEP (dritte Spalte) von vie\u00adlen Pro\u00adgram\u00admen bere\u00adits stan\u00addard\u00adm\u00e4\u00dfig unter\u00adst\u00fctzt wird, ist die entsprechende Spalte bere\u00adits gut bef\u00fcllt. Ich habe beschlossen, dass mein Thun\u00adder\u00adbird best\u00adm\u00f6glich gesichert wird. Hier\u00adf\u00fcr sind \u00fcber die Schalt\u00adfl\u00e4che \u201cCon\u00adfig\u00adure Apps\u201d \u00fcber \u201cAdd\u201d die aus\u00adf\u00fchrbare Datei thunderbird.exe<\/em> auszuw\u00e4hlen \u2014 wohl dem, der sich merkt, wo er seine Pro\u00adgramme hinin\u00adstal\u00adliert \u2014 und die gew\u00fcn\u00adscht\u00aden H\u00e4kchen zu set\u00adzen:<\/p>\n

<\/a><\/p>\n

Dies ist ana\u00adlog bei allen weit\u00aderen gew\u00fcn\u00adscht\u00aden Anwen\u00addun\u00adgen (RSS-Leser, Solit\u00e4r, \u2026) durchzuf\u00fchren. Empfehlenswert scheint es zu sein, die Auswahl auf ein Min\u00adi\u00admum zu reduzieren. Nach erfol\u00adgter Anpas\u00adsung m\u00fcssen die betrof\u00adfe\u00adnen Anwen\u00addun\u00adgen neu ges\u00adtartet wer\u00adden; for\u00adt\u00adan wacht EMET (unter anderem mit einem W\u00e4chter\u00adpro\u00adgramm im Benachrich\u00adti\u00adgungs\u00adfeld) \u00fcber sie.<\/p>\n

Man lasse den\u00adnoch Vor\u00adsicht wal\u00adten: Prak\u00adtisch jede Sicher\u00adheits\u00adma\u00df\u00adnahme l\u00e4sst sich irgend\u00adwie umge\u00adhen<\/a>. Der Ein\u00adsatz s\u00e4mtlich\u00ader Schilde des Sys\u00adtems erh\u00f6ht den n\u00f6ti\u00adgen Aufwand jedoch beizeit\u00aden betr\u00e4chtlich.<\/p>\n

Beschriebenes gilt \u00fcbri\u00adgens nicht nur f\u00fcr Win\u00addows: DEP etwa (als Prozes\u00adsor\u00adfunk\u00adtion) ist auch unter anderen Betrieb\u00adssys\u00adte\u00admen bekan\u00adnt. Ein Betrieb\u00adssys\u00adtem ist allerd\u00adings stets nur so sich\u00ader wie das Sicher\u00adheit\u00adskonzept seines Anwen\u00adders, seine Integrit\u00e4t ste\u00adht und f\u00e4llt mit dem Sachver\u00adstand dessen, der es bedi\u00adent. Anstelle jedoch auf Schlangen\u00f6l wie per\u00adson\u00adal fire\u00adwalls<\/em> zu ver\u00adtrauen, soll\u00adten sich Win\u00addows\u00adnutzer bess\u00ader mit den Schutz\u00adfunk\u00adtio\u00adnen ihres Sys\u00adtems ver\u00adtraut machen. Der ein\u00adma\u00adlige Aufwand kann sp\u00e4ter Frust und Unsicher\u00adheit ers\u00adparen.<\/p>\n","protected":false},"excerpt":{"rendered":"

(Vorbe\u00admerkung: Es fol\u00adgt ein lang\u00adweiliger Beitrag \u00fcber Sicher\u00adheitsvorkehrun\u00adgen von Microsoft Win\u00addows. Bei Desin\u00adter\u00adesse an diesem The\u00adma ist san\u00adftes Ignori\u00aderen die emp\u00adfoh\u00adlene Vorge\u00adhensweise.) Das Gejam\u00admer ist mal wieder gro\u00df: Das Bun\u00adde\u00adsamt f\u00fcr Sicher\u00adheit in der Infor\u00adma\u00adtion\u00adstech\u00adnik (BSI) hat eine aktuelle Sicher\u00adheitswar\u00adnung f\u00fcr den Inter\u00adnet Explor\u00ader von Microsoft her\u00adaus\u00adgege\u00adgen. Das Amt weist Inter\u00adnet\u00adnutzer auf eine bish\u00ader unbekan\u00adnte, \u2026<\/p>\n

\u2018Win\u00addowsan\u00adwen\u00addun\u00adgen abschot\u00adten mit EMET\u2019 weit\u00ader\u00adlesen \u00bb<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"wp_typography_post_enhancements_disabled":false,"footnotes":""},"categories":[19],"tags":[],"series":[],"class_list":["post-6997","post","type-post","status-publish","format-standard","hentry","category-nerdkrams"],"share_on_mastodon":{"url":"","error":""},"wp-worthy-pixel":{"ignored":false,"public":null,"server":null,"url":null},"wp-worthy-type":"normal","_links":{"self":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts\/6997","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/comments?post=6997"}],"version-history":[{"count":0,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts\/6997\/revisions"}],"wp:attachment":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/media?parent=6997"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/categories?post=6997"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/tags?post=6997"},{"taxonomy":"series","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/series?post=6997"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}