Ars Technica hat diese Woche über eine Vorführung von Forschern der Bromium Labs berichtet. Sie haben gezeigt, wie man den Schutz durch EMET – ein Microsoft Toolkit, das Nutzer vor Zero-Day-Angriffen schützen soll – komplett umgehen kann.
Dan Goodin, Mitarbeiter bei Ars Technica, beschrieb das als „beeindruckende Leistung, die darauf schließen lässt, dass kriminelle Hacker in der Lage sind das gleiche zu tun, wenn sie Schwachstellen ausnutzen wollen, um heimlich Malware zu installieren.“
Das Enhanced Mitigation Experience Toolkit (EMET) ist ein kostenloser Download, der die PC-Sicherheit verbessert. Laut einem Bericht von Bit-Tech ist es vor allem für Nutzer von älteren Windows-Versionen praktisch. Das aktuelle Windows 8.1 hingegen hat viele eingebaute Schutzfunktionen, die das Toolkit überflüssig machen.
Es heißt, dass Nutzer von älteren Windows-Versionen beispielsweise vor dem Internet Explorer Zero-Day-Angriff der letzten Woche geschützt worden wären.
Die Forscher von Bromium Labs sagen, dass EMET Schwachstellen in Bezug auf maßgeschneiderte Exploits aufweist. Nachdem die Forscher ihre Befunde Microsoft mitgeteilt hatten, haben sie ein White Paper mit ihren Forschungsergebnissen veröffentlicht.
ZDNet hat EMET als „durchschnittlichen Basisschutz“ beschrieben, der zwar wie jede Software nicht perfekt, aber für eine Vielzahl von älteren Angriffen und Betrugsversuchen gut genug sei. Der vorgeführte Exploit Code zeige, dass die kostenlose Software Schwachstellen habe, die für die Nutzer ernsthafte Folgen haben könnten.
Rahul Hashyap, Chief Security Architect und Head of Security Research bei Bromium sagte: „EMET ist ein brauchbares Add-On für Konsumenten und Unternehmer. Weil aber auch schon andere Forscher vor uns Wege gefunden haben, den Schutz des Toolkits zu umgehen, haben wir uns vor allem auf dessen Verwundbarkeit in Bezug auf ganz neue Exploits konzentriert.”
Im White Paper schrieben die Forscher: „Aus unseren Forschungsergebnissen geht hervor, dass sich die Angreifer etwas mehr anstrengen müssen, wenn sie es auf einen Rechner mit EMET abgesehen haben. Man muss zunächst herausfinden, wie man das Toolkit umgehen kann und dann eine maßgeschneiderte Software entwickeln. Deshalb ist EMET dafür, dass es kostenlos ist, schon sehr gut. Für einen fest entschlossenen Angreifer wird es aber kein Hindernis sein.“
Des Weiteren erklären die Forscher, dass Microsoft offen zugegeben habe, dass EMET keinen perfekten Schutz bietet.
Das ist aber auch nicht das Ziel des Toolkits. Vielmehr soll der Aufwand vergrößert werden, den es den Angreifern bedarf, um an interessante Daten zu kommen. Und dann lautet die richtige Frage nicht, ob EMET einen umfassenden Schutz bietet, sondern ob der benötigte Aufwand genügend vergrößert wird. Die Antwort hierauf basiert wohl auf dem Wert der Daten, die geschützt werden sollen.